Le Comité européen de la protection des données (EDPB) s’est opposé au modèle commercial controversé « paiement ou consentement » du groupe Meta dans un avis publié mercredi (17 avril), affirmant que cette approche binaire n’était pas conforme aux règles de l’UE en matière de confidentialité des données.
Le modèle « paiement ou consentement », introduit en novembre 2023 par Meta, donne aux clients la possibilité d’utiliser les services gratuitement s’ils consentent à ce que Meta traite leurs données privées, ou d’opter pour un modèle d’abonnement payant, auquel cas Meta s’abstiendra de traiter leurs données.
Les grandes plateformes en ligne ne seront pas conformes aux exigences du Règlement général de l’UE sur la protection des données (RGPD) en matière de consentement « si elles ne confrontent les utilisateurs qu’à un choix binaire » entre payer pour que leurs données personnelles ne soient pas traitées ou ne pas payer et laisser la palteforme traiter leurs données, a annoncé le Comité dans son avis.
« L’offre d’une alternative payante au service qui inclut le traitement à des fins de publicité comportementale ne devrait pas être la voie à suivre par défaut pour les contrôleurs », affirme le Comité.
« L’année dernière, la Cour de justice de l’Union européenne a statué que le modèle d’abonnement était un moyen juridiquement valable pour les entreprises pour demander le consentement des utilisateurs à des fins de publicité personnalisée », a rétorqué un porte-parole de Meta, ajoutant que l’avis de l’EDPB ne modifiait pas ce jugement.
La démarche de Meta découle de développements réglementaires antérieurs. En janvier 2023, en effet, deux autorités nationales chargées des données ont jugé que le « modèle de contrat » de Meta était en violation du règlement général sur la protection des données (RGPD) de l’UE.
Le « modèle de contrat » signifie qu’en acceptant les conditions de service, les utilisateurs signent un contrat avec la plateforme. La base juridique du traitement des données par Meta a donc été remise en question.
Le modèle « paiement ou consentement » a immédiatement suscité la controverse, et le Bureau européen des unions de consommateurs (BEUC) et l’organisation à but non lucratif de défense des droits numériques NOYB ont tous deux déposé des plaintes distinctes à son encontre.
Alimentant la controverse, les autorités de contrôle néerlandaises, norvégiennes et allemandes ont demandé à l’EDPB, qui est un organisme indépendant chargé de veiller à l’application cohérente des règles de protection des données dans l’UE, d’émettre un avis.
« La plupart des utilisateurs consentent au traitement afin d’utiliser un service, et ils ne comprennent pas toutes les implications de leurs choix », a déclaré Anu Talus, présidente de l’EDPB, dans un communiqué de presse, se faisant l’écho des organisations de défense des droits des consommateurs.
L’avis de l’EDPB
Dans l’avis de l’EDPB, adopté lors de sa dernière session plénière, le Comité a souligné l’importance du respect des exigences du RGPD, ainsi que du principe de responsabilité.
Les plateformes en ligne devraient proposer des alternatives aux services payants impliquant des publicités comportementales, en se concentrant sur l’offre d’alternatives gratuites qui soient réellement équivalentes, selon le Comité.
En outre, les contrôleurs doivent offrir une certaine souplesse dans les choix de consentement, garantir la clarté des demandes de consentement et fournir des informations complètes sur les choix offerts aux consommateurs et leurs conséquences.
Les contrôleurs de données doivent « veiller à tout moment à éviter de transformer le droit fondamental à la protection des données en une fonctionnalité dont les particuliers doivent payer pour bénéficier. Les individus doivent être pleinement conscients de la valeur et des conséquences de leurs choix », a affirmé Mme Talus.
Max Schrems, militant et président de NOYB, a ajouté que Meta « peut toujours faire payer certaines pages, s’engager dans des publicités contextuelles et autres — mais le suivi des personnes à des fins publicitaires nécessite un “oui” clair de la part des utilisateurs ».
L’avis « ajoute une pression supplémentaire sur Meta après que la Commission a déjà ouvert une enquête sur un éventuel non-respect du règlement sur les marchés numériques [Digital Markets Act, DMA] le mois dernier », selon Agustin Reyna, directeur des affaires juridiques et économiques au BEUC.
Règlement général sur la protection des données
Les organisations de défense des droits des consommateurs ont accusé Meta de violer les principes du RGPD, en invoquant les difficultés pour retirer son consentement et le traitement inéquitable des données. Elles ont soutenu que la collecte des données effectuée par Meta pour présenter des publicités ciblées à ses utilisateurs est invasive, impliquant des détails sensibles tels que le comportement et les opinions politiques.
Les différends juridiques concernant le traitement par Meta des données des utilisateurs de l’UE découlent de décisions rendues en 2022 et 2023, qui remettaient en cause sa base juridique antérieure.
[Édité par Anna Martino]