Quand Facebook aspire tout ce que vous faites, il doit demander la permission (ce qu’il ne fait pas)

La Cour Européenne de Justice a récemment largement déplacé le curseur vers le consentement à demander explicitement, dans le cas d’un litige qui implique Meta. Vous vous en doutez, Meta collecte des données à n’en plus finir si vous utilisez Facebook sans compter ce que vous faites sur Instagram et WhatsApp, qui appartiennent également à l'entreprise. Il collecte tout, vers où vous allez sur Internet et il associe ces données à votre compte Facebook ; cela lui permet de vous envoyer du contenu personnalisé et des publicités personnalisées aussi.

On pourrait dire que cette promesse fait partie du service de Facebook et que Meta n’a pas besoin d’avoir votre consentement pour ces données sans lesquelles le contenu délivré serait de moins bonne qualité.

La Cour Européenne de Justice vient de décider le contraire. Non, cette collecte et le contenu personnalisé n’est pas le service de base auquel s’attend l’utilisateur de Facebook. C’est encore moins le cas pour le contenu qui sert à de la publicité personnalisée qui est la base de la rémunération de Facebook pour vous fournir le service gratuit (sans pub personnalisée, pas de revenu, donc pas de service, ce qui aurait pu servir de justification à la notion d’intérêt légitime pour l’entreprise…). Rien à faire, donc : Meta doit avoir votre consentement.

Une autre conséquence inattendue de ce jugement est la possibilité pour d’autres autorités que les autorités de protection de données comme la CNIL (Commission nationale de l'informatique et des libertés, en France) d’établir une infraction au RGPD. Dans le jugement en question, il s’agissait de l’autorité de concurrence allemande qui l’a établie dans le cadre de son enquête sur la position dominante de Facebook. Oui, elle peut établir une infraction si elle donne de l’eau à son moulin pour son enquête ou elle veut imposer un remède contre cette dominance. L’autorité de concurrence allemande voulait, en effet, interdire à Facebook de collecter des données sur les activités de l’utilisateur allemand en dehors de Facebook sur son ordinateur et sans consentement. L’autorité de la concurrence considère les conditions générales d’utilisation de Facebook qui le lui autorise comme abusives et que seule sa position dominante sur les réseaux sociaux lui permet cet écart.

D’ailleurs, s’empresse d’ajouter la Cour Européenne de Justice, la position dominante de Facebook sera toujours une circonstance aggravante : dans quelle mesure le consentement donné par l’utilisateur du réseau est-il librement consenti face à un tel mastodonte ?

Et encore une observation de la Cour Européenne de Justice qui en vaut la peine : il était évident qu’à force de collecter des données du client sur les sites visités, les apps utilisées et l’usage de WhatsApp et Instagram, se pose la question du profil sensible que Meta peut construire de vous si les sites visités sont très ciblés. Cela pourrait en dire long sur l’état médical, les origines ethniques ou religieuses, l’orientation sexuelle, toutes données dont le traitement sans consentement explicite est interdit par le RGPD. Le RGPD prévoit une exception, à savoir si l’utilisateur final a manifestement rendu public ces données sensibles. Qu’on se le dise : le simple fait de visiter ces sites ne signifie en aucune manière que l’utilisateur rend public son comportement aux yeux de Meta et du reste du monde.

Cet arrêt de la Cour Européenne de Justice met l’accent sur le consentement, encore et toujours : ne prenons pour acquis que le client est d’accord pour voir ses données traitées dans le cadre du service qui lui est fourni.

Pour en savoir plus : Judgment of the Court (Grand Chamber) of 4 July 2023 (request for a preliminary ruling from the Oberlandesgericht Düsseldorf – Germany) – Meta Platforms Inc., formerly Facebook Inc., Meta Platforms Ireland Limited, formerly Facebook Ireland Ltd, Facebook Deutschland GmbH v Bundeskartellamt