Grande victoire pour la vie privée : Amende record contre Facebook grâce à Max Schrems.
Meta doit payer 1,2 milliard d'euros pour avoir violé le règlement européen GDPR.
La nouvelle amende record de 1,2 milliard d’euros infligée à Facebook a été prononcée grâce à deux personnalités de premier plan : Max Schrems, qui a poursuivi Facebook il y a plusieurs années pour avoir transféré des données personnelles de citoyens européens aux États-Unis, et Edward Snowden, qui a rendu public le fait que les services secrets américains peuvent obtenir des données de services américains comme Meta assez facilement - ce qui est contraire au règlement général européen sur la protection des données (RGPD).
Dix ans après les révélations du dénonciateur de la NSA, Edward Snowden, Facebook a finalement été condamné à une amende de 1,2 milliard d’euros pour avoir potentiellement divulgué des données de citoyens européens aux services secrets américains : Sous la pression de l’Union européenne, l’autorité irlandaise de protection des données (DPC) a infligé une amende record de 1,2 milliard d’euros à la plateforme de médias sociaux.
L’amende imposée par la DPC éclipse l’amende record précédente de 746 millions d’euros infligée à Amazon par le Luxembourg en 2022.
L’amende a été imposée à la suite d’une plainte déposée par Max Schrems, militant autrichien de la protection des données, qui avait demandé à plusieurs reprises que les révélations de Snowden aient des conséquences, portant l’affaire jusqu’à la Cour de justice de l’Union européenne. En conséquence, la Cour a déclaré illégal l’accord Privacy Shield entre les États-Unis et l’Union européenne.
Les raisons de l’annulation du Privacy Shield sont toujours valables. Le problème est que les lois américaines ne protègent pas suffisamment les données des citoyens européens, car les programmes de surveillance aux États-Unis ne sont pas limités au strict nécessaire.
Meta doit donc cesser tout transfert de données personnelles européennes vers les États-Unis, car l’entreprise reste soumise à la législation américaine en matière de surveillance. Le géant technologique de la Silicon Valley a six mois pour se conformer à cette décision.
La décision ne s’applique qu’à Facebook
Il ne s’agit pas des pratiques d’une entreprise en matière de protection des données - il existe un conflit juridique fondamental entre les règles du gouvernement américain en matière d’accès aux données et les droits européens en matière de protection des données, que les décideurs politiques devraient résoudre au cours de l’été”, déclare Facebook dans une déclaration transmise au SPIEGEL.
Max Schrems, qui a fondé l’organisation à but non lucratif NOYB pour poursuivre son combat en faveur de la protection de la vie privée, est d’accord sur ce point :“Tout autre grand fournisseur américain de services en nuage comme Amazon, Google ou Microsoft pourrait être touché par une sanction similaire en vertu de la législation européenne”.
”Le DPC irlandais a fait tout ce qui était en son pouvoir pour empêcher cette décision, mais il a été réprimandé à plusieurs reprises par les tribunaux et les institutions européennes. Il est assez absurde que l’amende record revienne à l’Irlande - l’État membre de l’UE qui a fait tout ce qui était en son pouvoir pour s’assurer que cette sanction ne serait pas imposée”, explique M. Schrems.
Depuis l’introduction du GDPR en 2018, Meta a vu quatre milliards d’euros d’amendes imposées par les régulateurs de l’UE.
Parmi les dix entreprises ayant reçu les amendes les plus élevées sur la base du GDPR, Meta est désormais représentée six fois - un record négatif.
Les 10 plus grosses amendes GDPR à ce jour
- Amende GDPR de Meta - 1,2 milliard d’euros imposée par l’Irlande en mai 2023
- Amende GDPR Amazon - 746 millions d’euros imposée par le Luxembourg en juillet 2021
- Amende GDPR Meta - 405 millions d’euros imposée par l’Irlande en septembre 2022
- Amende Meta GDPR - 390 millions d’euros imposée par l’Irlande en janvier 2023
- Amende Meta GDPR - 265 millions d’euros imposée par l’Irlande en novembre 2022
- Amende GDPR pour WhatsApp - 225 millions d’euros imposés par l’Irlande en septembre 2021
- Google LLC - amende GDPR de 90 millions d’euros imposée par la France en décembre 2021
- Google Ireland - amende GDPR de 60 millions d’euros imposée par la France en décembre 2021
- Facebook Ireland - amende GDPR de 60 millions d’euros imposée par la France en décembre 2021
- Google France - amende GDPR de 50 millions d’euros imposée par la France en janvier 2019
Le modèle économique de Facebook est illégal dans l’UE
L’amende record de 1,2 milliard d’euros infligée à Meta n’est que le dernier acte d’une longue bataille juridique, qui montre que lemodèle économique de Facebook est illégal en Europe en raison de ses violations de la confidentialité des données et du risque que les données des citoyens européens tombent entre les mains des services secrets américains.
Plus tôt cette année, en janvier 2023, Meta a déjà été condamné à une amende de 390 millions d’euros. Les régulateurs européens de la protection de la vie privée affirment que Facebook et Instagram ne doivent pas forcer les utilisateurs à accepter le pistage en insérant cette exigence dans leurs conditions d’utilisation. Ce modèle commercial de Meta est illégal selon le GDPR.
Étant donné que Facebook - ainsi que d’autres géants de la technologie - ne se concentre pas sur la protection de notre vie privée ou sur le cryptage de nos données, toutes les données qu’ils recueillent peuvent être facilement transmises.
N’oublions pas : si c’est gratuit, vous êtes le produit.
TL;DR : La pratique de Meta consistant à demander aux utilisateurs de consentir au suivi via leurs conditions n’est pas légale selon le GDPR. Facebook, Instagram et WhatsApp doivent proposer une option Oui et Non afin que les utilisateurs puissent activement donner leur consentement - ou le refuser. C’est un coup dur pour le modèle économique de Meta, qui consiste à faire de la publicité basée sur la surveillance.
Leçon à tirer de cette affaire : N’attendez plus Facebook, utilisez dès maintenant des services qui respectent votre droit à la vie privée.
La Commission irlandaise de protection des données (DPC) a confirmé dans un communiqué de presse que la pratique de Meta consistant à appliquer des accords sur les cookies dans Facebook et Instagram est illégale au regard du GDPR. Le géant de la tech a été condamné à une amende de 390 millions d’euros pour cette violation de la vie privée - déjà la moitié de ce que Meta a dû payer en 2022 en raison de violations du GDPR européen, et 2023 ne fait que commencer. La décision finale concernant WhatsApp n’a pas encore été prise.
Il s’agit d’un autre signe de l’approche plus stricte de l’Europe en matière de traitement des violations de la vie privée dans le cadre du GDPR.
À l’origine, le DPC ne réclamait que 28 à 36 millions d’euros, soit environ 10 % du montant de la décision finale. Cependant, l’EDPB européen a annulé la décision du DPC et a insisté pour que Meta soit condamné à des amendes massives, estimant queMeta avait intentionnellement violé le GDPR et la vie privée des gens pour son propre profit.
Max Schrems de l’ONG NOYB, qui a poursuivi Meta pour ses violations de la vie privée, déclare :
“La sanction ira à l’Irlande, l’État qui a pris le parti de Meta et retardé l’application de la loi pendant plus de quatre ans. L’affaire sera probablement portée en appel par Meta, ce qui entraînera des frais supplémentaires pour noyb”.
Pour en savoir plus sur la lutte juridique pour la protection de la vie privée en Europe, consultez la page d’accueil de NOYB.
Le modèle commercial de Meta - qui consiste à forcer les utilisateurs à accepter le suivi via leurs conditions - a été déclaré illégal dans l’UE. Facebook, Instagram et WhatsApp ne peuvent plus diffuser de publicités personnalisées sans le consentementactif de l’utilisateur.
Article original
Décision des régulateurs européens de la vie privée
Dans une décision de grande portée rendue lundi, les régulateurs européens de la vie privée ont déclaré que Meta Platforms Inc. ne devait pas forcer les utilisateurs à accepter des publicités personnalisées basées sur leur activité en ligne. Cette décision pourrait limiter considérablement les données que Meta peut utiliser pour vendre des publicités ciblées.
Selon le règlement général sur la protection des données (RGPD), il ne suffit pas d’insérer un paragraphe dans les conditions d’utilisation, auquel les utilisateurs doivent consentir. Ces conditions ne justifient pas la collecte de données et l’affichage de publicités ciblées. Au lieu de cela, les plateformes Meta Facebook, Instagram et WhatsApp doivent donner aux utilisateurs un choix clair entre Oui et Non, où ils peuvent accepter activement d’être suivis - ou refuser.
Le soi-disant consentement forcé du géant de la technologie pour continuer à suivre et à cibler les utilisateurs en traitant leurs données personnelles afin de construire des profils pour la publicité comportementale a été ajouté aux termes de Meta après la publication du GDPR en 2018. Aujourd’hui, il a été déclaré illégal par les organismes de surveillance de la vie privée de l’UE.
Cette décision fait suite aux plaintes qui ont été déposées par l’ONG européenne de protection de la vie privée noyb dès l’entrée en vigueur du GDPR en mai 2018. Il a fallu environ 4,5 ans à l’UE pour se prononcer sur la question.
La raison de ce long processus est que la Commission irlandaise de protection des données (DPC) a initialement déclaré que les termes mis à jour de Meta répondent aux exigences du GDPR. L’Irlande est le principal régulateur de la vie privée de Meta dans le bloc, car c’est là que se trouve le siège européen de Meta.
Meta a expliqué que ses conditions actualisées s’appuient sur le concept de “nécessité contractuelle” du GDPR. Le GDPR interdit principalement aux entreprises de forcer les utilisateurs à fournir des informations personnelles pour utiliser leurs services. La seule exception est lorsque ces informations sont nécessaires à l’exécution d’un contrat : par exemple, une application de covoiturage a besoin de connaître votre position pour afficher les voitures proches de vous.
Meta s’est appuyé sur cette disposition contractuelle du GDPR, à laquelle l’autorité irlandaise de régulation de la vie privée a initialement souscrit.
Mais aujourd’hui, les régulateurs européens de la protection de la vie privée renvoient la décision au DPC en affirmant que la “nécessité contractuelle” n’est pas respectée par des applications comme Facebook, Instagram et WhatsApp et qu’il est de l’obligation du DPC de faire respecter les droits des citoyens européens en matière de protection de la vie privée.
Le DPC dispose maintenant d’un mois pour rendre une décision finale, assortie d’amendes importantes.
L’impact
L’impact de la décision de l’UE selon laquelle les pratiques actuelles de Facebook en matière de suivi sont illégales est énorme : elle affecte directement le modèle d’entreprise de Facebook. À l’heure actuelle, Facebook et Instagram tirent un grand profit du fait que les gensdoivent leur communiquer leurs données privées pour utiliser le service. Meta utilise ces données pour créer des profils et diffuser des publicités ciblées, une mine d’or pour le géant de la Silicon Valley.
Or, la décision de l’UE limitera l’accès de Facebook à cette mine d’or et aura donc un impact direct sur ses revenus.
La décision prise l’année dernière par Apple montre à quel point cette décision est néfaste pour les bénéfices de Meta. En 2021, Apple a exigé des développeurs d’applications iPhone qu’ils demandent aux utilisateurs s’ils souhaitent que leur utilisation soit suivie. Sans surprise, de nombreux utilisateurs d’iPhone ont refusé d’être suivis et profilés.
En conséquence, les recettes de Meta en 2021 ont été réduites de 8 %, simplement parce que les utilisateurs d’iPhone n’étaient plus disposés à partager leurs données privées avec Facebook, Instagram et WhatsApp.
La réduction du suivi en ligne par Facebook est extrêmement bénéfique pour la vie privée des utilisateurs et nuit simultanément aux revenus de Meta. Les données personnelles valent bien plus que ce que l’on pense pour les grandes entreprises technologiques.
L’UE limite le suivi de Facebook
La dernière décision de l’UE est un autre signe de l’intérêt croissant des autorités européennes pour la limitation du suivi basé sur la surveillance. Enfin, les citoyens et les responsables politiques prennent conscience des dangers de la publicité comportementale, et les fonctionnaires européens commencent à la réglementer de manière à protéger la vie privée des citoyens.
Pour des entreprises telles que Facebook, Google et Amazon, cette activité représente toutefois des milliards de dollars chaque année.
Découvrez ici comment vous êtes profilé en ligne et comment vous pouvez y mettre fin.
Quoi qu’il en soit, même la Californie, où sont implantées la plupart des grandes entreprises technologiques, a adopté d’excellentes lois sur la protection de la vie privée qui permettent aux utilisateurs de refuser ce qu’elle appelle la publicité comportementale cross-contextuelle.
La raison de cette législation est peut-être que les Californiens savent mieux que quiconque à quel point le suivi et la publicité comportementale sont nocifs, puisque c’est là que ce modèle commercial a vu le jour.
Conséquences pour les utilisateurs
La décision de l’UE n’aura malheureusement pas de conséquences directes pour les utilisateurs, car elle peut faire l’objet d’un recours. Un tel recours entraînerait une longue procédure judiciaire.
Toutefois, si elle est confirmée, cette décision rendra beaucoup plus difficile pour Facebook et d’autres plateformes de montrer aux utilisateurs des publicités basées sur ce qu’ils cliquent, aiment, partagent et regardent dans les applications de ces plateformes.
Alors que Meta permet déjà aux utilisateurs de refuser la personnalisation des publicités à partir de données provenant d’autres sites web et applications, elle n’a jamais offert une telle option pour les publicités basées sur les données relatives à l’activité des utilisateurs sur ses propres plateformes.
Pour Facebook et d’autres grandes entreprises technologiques, limiter l’accès au suivi des utilisateurs serait un coup dur, car la création d’audiences pour des publicités personnalisées constitue l’essentiel de leurs revenus.
”Il ne s’agit pas de la décision finale et il est trop tôt pour spéculer”, a déclaré un porte-parole de Meta au Wall Street Journal, ajoutant que la législation européenne pourrait permettre d’autres justifications légales pour le ciblage des publicités : “Nous avons pleinement collaboré avec le DPC dans le cadre de ses enquêtes et nous continuerons à le faire au fur et à mesure qu’il finalisera sa décision”.
Néanmoins, le GDPR prévoit des amendes importantes pour les violations majeures - jusqu’à 4 % du chiffre d’affaires annuel mondial.
Des mesures d’application de la loi de plus en plus nombreuses
Alors que le GDPR de l’UE a commencé à être appliqué dès mai 2018, l’application politique n’a commencé à s’intensifier qu’au cours des deux derniers mois. À l’heure actuelle, de nombreuses entreprises de la Big Tech ont été frappées par de lourdes amendes.
Le DPC irlandais a infligé à Meta une amende de plus de 900 millions de dollars dans quatre autres affaires au cours des 15 derniers mois, et a actuellement 10 enquêtes supplémentaires sur l’entreprise.
La filiale irlandaise de Meta a affecté près de 3 milliards d’euros aux amendes liées à la protection de la vie privée dans l’UE l’année dernière, soit 1,97 milliard d’euros de plus que l’année précédente, d’après les documents déposés par les entreprises irlandaises.
Quoi qu’il en soit, jusqu’à présent, il semble beaucoup plus rentable pour les géants de la Silicon Valley de se contenter de payer les amendes, plutôt que de modifier leur modèle d’entreprise.
Cela signifie que nous devons continuer à nous battre pour mettre fin au pistage publicitaire. Commencez dès maintenant en ajoutant un adblocker à votre navigateur !