Facebook : la CNIL irlandaise se moque du monde !
Publié le 18/11/2021 par Etienne Wery
Pour l’autorité irlandaise, la pub personnalisée fait partie de l’essence de Facebook : le cœur du service, tel qu’il est défini dans le contrat spécifique comprend clairement (et semble même reposer sur) la fourniture de publicités personnalisées. Il en découle que le traitement de données à caractère personnel qu’engendre la publicité personnalisée est « nécessaire » à l’exécution du contrat et dispose donc d’une base de licéité.
La CNIL irlandaise : chef de file de Facebook
L’introduction du mécanisme de « guichet unique » par l’article 56 du Règlement, constitue immanquablement une innovation majeure qui facilite sensiblement la vie des responsables de traitement établis dans plusieurs États Membres. Le mécanisme est simple dans son principe : en cas de traitement transnational, le Règlement détermine une autorité de contrôle « principale » (dite « autorité de contrôle chef de file ») qui supervise les activités de traitement du responsable dans l’Union. (Plus d’infos)
Lé désignation du chef de file dépend du lieu de l’établissement principal du responsable (en cas d’établissements multiples), ou de son lieu d’établissement unique.
Pour Facebook, c’est l’Irlande.
Le mécanisme de coopération
L’autorité de contrôle chef de file est en principe l’interlocuteur unique du responsable ou du sous-traitant pour leur traitement transfrontalier (art. 56, § 6). Bref, Facebook relève essentiellement de l’autorité irlandaise et d’aucune autre (sous réserve d’hypothèses précises évoquées ici).
Le règlement prévoit toutefois un mécanisme de coopération lorsque c’est nécessaire, c’est-à-dire principalement lorsque les activités du responsable débordent sur plusieurs Etats membres et que la question impacte donc des personnes dans plusieurs pays. Ce mécanisme fait l’objet des articles 60 et suivants RGPD.
En substance, « L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées (…) en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile. »
En cas de procédure, il est prévu que le chef de file soumette un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis, et il tient dûment compte de leur point de vue.
Lorsqu’une des autres autorités de contrôle concernées formule une objection pertinente et motivée à l’égard du projet de décision, le chef de file peut s’en écarter mais à la condition de soumettre la question au mécanisme de contrôle de la cohérence visé à l’article 63 selon lequel les autorités « coopèrent entre elles et, le cas échéant, avec la Commission (…) ».
On le voit, le système essaye de maintenir un équilibre entre :
- d’une part le rôle central de l’autorité chef de file. Rôle réaffirmé récemment par la cour de justice ;
- d’autre part la nécessité d’une approche cohérente et uniformisée dans l’ensemble des états membres.
Le dossier Facebook
En substance, le dossier Facebook porte sur la question de la base légale du traitement.
Dans une plainte déposée en 2018 – le jour de l’entrée en vigueur du RGPD – l’association Noyb affirmait que le consentement donné à Facebook pour les publicités et contenus ciblés n’était ni libre ni éclairé et qu’il n’y a aucune autre base légale justifiant le traitement.
Trois ans plus tard, dans le cadre du mécanisme de coopération, l’autorité irlandaise résume les 3 questions que pose le dossier de la manière suivante :
- Question 1 – Le fait de cliquer sur le bouton « accepter » constitue-t-il ou doit être considéré comme un consentement au sens du GDPR ?
- Question 2 – le traitement en cause peut-il s’autoriser de l’article 6, paragraphe 1, point b) (traitement nécessaire l’exécution d’un contrat) ?
- Question 3 – Facebook a-t-il fourni les informations requises sur la base légale du traitement en vertu de l’article 6, paragraphe 1, point b), du GDPR et l’a-t-elle fait de manière transparente ?
Consentement ?
L’autorité irlandaise estime que le plaignant se trompe en focalisant sa plainte sur la question du consentement. Elle va plus loin et estime que dans la plupart des situations analogues, ce n’est pas le consentement qui est recherché : même si le visiteur doit cliquer sur un bouton d’acceptation, cela ne peut pas être considéré comme la preuve que c’est l’hypothèse du consentement en tant que base de licéité qui est recherché par le responsable de traitement (traduction libre) :
« Dans de nombreux cas impliquant un contrat entre un consommateur et une organisation, la base légale du traitement des données à caractère personnel est la « nécessité pour l’exécution d’un contrat » en vertu de l’article 6, paragraphe 1, point b), du RGPD. On ne peut pas dire que le fait d’accepter certaines conditions contractuelles – par exemple en acceptant les conditions de service en l’espèce – signifie nécessairement que tout traitement de données à caractère personnel dans le cadre de ce contrat est fondé sur le consentement aux fins du RGPD. La question de savoir si un responsable du traitement peut se fonder sur l’article 6, paragraphe 1, point b), du RGPD dépend des termes du contrat particulier et de la question de savoir si le ou les traitements contestés sont nécessaires à l’exécution de ce contrat. La nature et le contenu d’un contrat librement conclu par deux parties ne peuvent toutefois pas introduire une catégorie supérieure de base juridique, ou une base juridique « par défaut ». Rien dans le RGPD ne permet de penser qu’il existe une telle catégorie supérieure ou base juridique par défaut. Je note également à cet égard que l’EDPB a indiqué que, dans des circonstances où le traitement des données est nécessaire pour exécuter un contrat, le consentement n’est pas, en fait, une base légale appropriée sur laquelle se fonder. »
L’autorité irlandaise souligne un problème connu et discuté depuis trois ans et que l’on peut résumer ainsi : pourquoi les responsables de traitements se donnent-ils autant de mal à recueillir un consentement alors qu’il y a bien souvent des bases de licéité alternatives, qui présentent l’avantage d’être moins contraignantes ? Avec le RGPD, on a en effet assisté à une sorte de « réflexe consentement » qui s’est traduit par l’envoi de millions de mails demandant de confirmer l’accord de la personne concernée, alors qu’il y avait bien souvent une voie moins difficile et tout aussi efficace, à commencer par l’exécution du contrat. Pour certains, l’ordre dans lequel le RGPD fournit la liste des bases de licéité traduirait une sorte de hiérarchie. On a aussi entendu que l’article 6 impliquerait de ne choisir qu’une (seule) base de licéité par traitement, ce qui s’est traduit par la recherche à tout prix du consentement. Le débat est loin d’être tranché.
Pour autant, la CNIL irlandaise va très loin dans son raisonnement, au risque de vider de son sens la notion de consentement. Va-t-on aller jusqu’à considérer que chaque fois qu’un bouton d’acceptation a été cliqué, il faudra apprécier la situation non plus sous l’angle de la validité d’un consentement, mais sous l’angle du contenu d’un contrat ?
C’est ce que semble affirmer la commissaire Dixon et c’est ce qui lui permet de conclure comme suit : le réseau social « Facebook (a) n’a pas cherché à se fonder sur le consentement pour traiter les données personnelles dans le cadre de son service et (b) n’est pas légalement obligé de se fonder sur le consentement pour le faire ».
Pour information, rappelons que jusqu’au 25 mai 2018, c’est-à-dire jusqu’au moment de l’entrée en vigueur du RGPD, Facebook basait son traitement sur … le consentement. Le réseau a changé sa stratégie avec l’entrée en vigueur du RGPD, décidant sciemment de basculer sur une nouvelle base de licéité. La chronologie est interpellante …
Le traitement « nécessaire » au contrat ?
Ayant écarté le consentement au terme d’un raisonnement plutôt radical, l’autorité irlandaise allait-elle considérer que le traitement de Facebook est dépourvu de base légale ?
Pas du tout estime la commissaire Dixon : la publicité ciblée est nécessaire à l’exécution du contrat conclu entre Facebook et l’utilisateur !
Au paragraphe 4.39, l’autorité irlandaise rappelle la position de Facebook : « L’argument de Facebook consiste essentiellement à dire que la publicité personnalisée constitue le « cœur » de son service et qu’elle en serait donc une des « caractéristiques distinctives » (pour reprendre les termes de l’EDPB) ».
En d’autres termes, quand quelqu’un s’inscrit sur Facebook, c’est dans l’objectif de recevoir des publicités ciblées et il serait vraiment dommage de l’en priver.
Le projet de décision résume les positions comme suit (traduction libre) : « Les lignes directrices, bien qu’elles ne soient pas contraignantes pour la Commission, exposent clairement une vision très restrictive des cas où le traitement doit être considéré comme nécessaire à l’exécution d’un contrat, et font explicitement référence à la publicité personnalisée comme exemple de traitement qui ne sera généralement pas nécessaire. Comme les termes des lignes directrices l’indiquent clairement, il s’agit toutefois d’une règle générale plutôt qu’absolue. Je note que le CEPD a également reconnu que « la personnalisation du contenu peut (pas toujours, mais parfois) être un élément essentiel ou attendu de certains services en ligne ». Le principal point de litige dans l’application de l’article 6(1)(b) du GDPR consiste donc à savoir si – par référence aux termes du contrat spécifique – l’inclusion de la publicité comportementale rend le traitement des données conditionnel à l’exécution d’un contrat, lorsque ce traitement n’est pas lui-même nécessaire pour exécuter le contrat. Le contre-argument est que cette publicité, étant au cœur du modèle économique de Facebook et au cœur du marché conclu entre les utilisateurs de Facebook et Facebook, est nécessaire à l’exécution du contrat spécifique entre Facebook et le plaignant. »
Et le plus dingue, c’est que la commissaire Dixon valide cette approche alambiquée (traduction libre) :
« Si l’on applique les principes énoncés ci-dessus aux circonstances particulières de cette affaire, il semble que le cœur du modèle Facebook, en particulier dans les cas où les utilisateurs ne paient pas pour le service, soit un modèle publicitaire. Le CEPD a, bien sûr, établi que le traitement ne peut pas être rendu licite par l’article 6(1)(b) du GDPR « simplement parce que le traitement est nécessaire au modèle économique au sens large du responsable du traitement ». Toutefois, le cœur du service, tel qu’il est défini dans le contrat spécifique conclu avec la personne concernée en l’espèce, comprend clairement (et semble même reposer sur) la fourniture de publicités personnalisées. »
Commentaires
Si l’on se place du point de vue de l’utilisateur, la situation revient à s’interroger sur la raison pour laquelle quelqu’un s’inscrit sur un réseau social : pour l’autorité irlandaise, ce n’est pas la communication avec vos amis que vous recherchez, ni l’échange de photos, ni les stories, ni le partage, ni rien de tout cela … non, tout cela ne serait pas grand chose s’il n’y avait la joie d’être ciblé commercialement … et priver l’utilisateur de cette magnifique expérience reviendrait à empêcher Facebook de lui donner ce à quoi il a droit contractuellement.
Cette manière d’interpréter le critère de nécessité paraît difficilement défendable.
Elle réduit à néant l’intégralité de l’article 6 RGPD puisqu’il sera dorénavant presque toujours possible de justifier le traitement si celui-ci participe de près ou de loin à la réalisation du modèle économique du responsable. Quant à l’article 7 (le consentement), il est largement inutile.
Exemple : vous souscrivez en ligne à un service musical. Quels sont les traitements « nécessaires » à l’exécution du contrat ? L’enregistrement de l’utilisateur, le paiement, le suivi des demandes d’assistance, les offres promotionnelles en lien avec l’abonnement (ajoutez un membre de la famille), l’historique d’écoute, etc. Tout cela semble OK. Mais à partir de quand n’est-on plus dans le « nécessaire » ? Est-il « nécessaire » d’analyser tout ce que vous écoutez pour vous suggérer des artistes ? Ça se discute, mais on entre tout doucement dans une zone grisâtre. Allons encore plus loin : est-il nécessaire de dresser un profil socio-économique en fonction du contenu écouté, pour afficher des publicités personnalisées ? Le service musical peut-il prétendre que son modèle économique comprend cette source de revenus et que l’ayant évoquée dans ses conditions générales, il devient nécessaire de vous cibler pour exécuter le contrat ? Pour l’autorité irlandaise, c’est : oui !
Il suffirait selon l’autorité irlandaise d’un petit clic à la va-vite pour qu’un contrat soit présent au sens du RGPD (quitte à être boiteux au sens des conditions de formation d’un contrat), et délimite les traitements qui sont nécessaires à son exécution. C’est une autre incongruité du projet de décision qui prononce malgré tout une amende au motif que l’information fournie aux utilisateurs du réseau ne l’a pas été dans le respect des règles de transparence. En d’autres termes, le contrat est critiquable quant à sa formation (l’information contractuelle a été mal fournie) mais il est néanmoins la base de licéité.
Par ailleurs, cette interprétation efface purement et simplement un certain nombre d’autres principes, à commencer par le principe de minimisation. Où est encore la minimisation lorsque c’est le modèle économique du responsable de traitement qui sert de jauge à ce qui est nécessaire ?
Enfin, le projet de décision vide de son sens l’hypothèse sur laquelle il repose pourtant : le traitement « nécessaire » à l’exécution du contrat. Une jurisprudence constante a toujours considéré que lorsque le législateur utilise le critère de nécessité, il convient d’adopter une approche restrictive. C’est l’inverse qui se produit ici.
Il faut espérer que les autorités nationales des autres pays dézinguent ce très mauvais texte.
Plus d’infos ?
En lisant le projet de décision, disponible en téléchargement.