La CNIL irlandaise attaque en justice le CEPD
Publié le 11/01/2023 par Etienne Wery
La Commission irlandaise de protection des données (DPC) inflige deux amendes à Meta : l’une pour Facebook (210 millions) et l’autre pour Instagram (180 millions). Vu l’avis contraignant de décembre dernier émis par le CEPD, la DPC n’avait pas le choix mais elle fait de la résistance : outre le montant (faible) des amendes, elle attaque en justice la décision du CEPD. Le conflit risque de mettre à mal la confiance sur laquelle repose le mécanisme du « chef de file » créé par le RGPD.
La DPC a rendu deux décisions concernant Meta Platforms Ireland Limited (« Meta Ireland »), infligeant une amende de 210 millions d’euros (pour des violations du GDPR liées à son service Facebook) et de 180 millions d’euros (pour des violations liées à son service Instagram).
La CPD a aussi émis une injonction de mise en conformité dans un délai de 3 mois.
Ces décisions sont le résultat de plaintes déposées le 25 mai 2018, date d’entrée en vigueur du GDPR. Cinq ans de procédure …
Le problème de fond : quelle base de licéité pour la publicité comportementale ?
Jusqu’à l’entrée en vigueur du RGPD, Meta faisait reposer ses traitements de données personnelles, y compris la publicité comportementale, sur le « consentement » de l’utilisateur.
Juste avant le 25 mai 2018, date d’entrée en vigueur du RGPD, Meta Ireland a modifié ses conditions de service, signalant qu’elle changeait cette base de licéité : du consentement, elle passait à l’exécution du « contrat » pour la plupart (mais pas tous) des traitements.
Objectif de la manœuvre : le RGPD ne permettant plus sérieusement de considérer que le consentement était valablement recueilli (libre, spécifique, informé, etc.), il fallait passer à une autre base de licéité ou arrêter la publicité comportementale. Meta a donc considéré que la publicité comportementale était « nécessaire » à l’exécution du contrat d’utilisation du réseau. Du même coup, Meta se débarrassait de toutes les contraintes liées au consentement (retrait, etc.) et reprenait totalement la main sur ses traitements.
En mai 2018, s’ils souhaitaient continuer à avoir accès aux services de Facebook et d’Instagram après l’introduction du GDPR, les utilisateurs existants (et les nouveaux) étaient invités à cliquer sur « J’accepte » pour indiquer leur acceptation des conditions de service mises à jour. A défaut, les services n’étaient plus accessibles.
Nous avons déjà consacré une actu à la problématique de fond et y renvoyons.
La plainte
En substance, les plaintes déposées le jour même de l’entrée en vigueur du RGPD considéraient que :
- La fourniture de services personnalisés et de publicité comportementale ne peut pas être considérée comme étant « nécessaire » à l’exécution du contrat conclu avec l’utilisateur de Facebook et Instagram ;
- La fourniture de services personnalisés et de publicité comportementale ne peut pas non plus s’appuyer sur le consentement car la procédure de mise à jour (accepter ou cesser d’utiliser le service) ne permet pas de recueillir un consentement libre et spécifique. En outre, vu le contexte, la transparence (consentement informé) n’était pas assurée à suffisance.
La procédure
La DPC a mené (très lentement) l’enquête et abouti aux constats suivants :
- Violation des obligations en matière de transparence : les informations relatives à la base juridique n’étaient pas clairement exposées aux utilisateurs, qui ne savent donc pas clairement quelles opérations de traitement étaient effectuées sur leurs données à caractère personnel, pour quelle(s) finalité(s) et par référence à quelle base de licéité.
- Absence de violation du principe de licéité : Meta peut fonder le traitement, y compris pour la publicité comportementale, sur l’exécution du contrat conclu avec l’utilisateur. Il n’est pas requis de fonder le traitement sur le consentement.
La DPC donnait donc raison à Facebook sur l’essentiel.
La décision contraignante du CEPD
Conformément au RGPD, le projet de décision de la DPC a été adressé aux autorités nationales des autres pays impliqués, sans qu’un consensus soit trouvé.
Vu l’absence de consensus, le dossier est arrivé sur la table du Comité européen de protection des données (CEPD).
Le CEPD a rendu son avis contraignant le 5 décembre 2022 :
- Sur la violation de l’obligation de transparence : le CEPD valide le constat de la DPC, mais souhaite une augmentation du montant de l’amende.
- Sur la question la plus importante relative à la base de licéité, le CEPD s’oppose à la DPC : Meta Ireland n’est pas en droit d’invoquer la base juridique du « contrat » comme fondement légal de son traitement des données à caractère personnel aux fins de la publicité comportementale.
La DPC plie mais attaque le CEPD en justice
S’agissant d’une décision contraignante, la DPC a bien dû s’y soumettre … pour l’instant.
Les décisions de la DPC infligent donc deux amendes à Meta Ireland : 210 millions d’euros (dans le cas de Facebook) et 180 millions d’euros (dans le cas d’Instagram). De jolies sommes, certes, mais un montant sans commune mesure avec les enjeux.
Meta Ireland doit aussi se mettre en conformité dans un délai de 3 mois.
Par ailleurs, le CEPD a également demandé au DPC de mener une nouvelle enquête portant sur l’ensemble des opérations de traitement des données de Facebook et d’Instagram, et d’examiner les catégories particulières de données à caractère personnel qui peuvent ou non être traitées dans le cadre de ces opérations. La DPC irlandaise estime que le CEPD est sans compétence pour demander l’ouverture d’une enquête et elle annonce demander en justice l’annulation des instructions de l’EDPB.
Commentaires
La critique de la DPC quant au pouvoir d’injonction du CEPD n’est pas dénuée d’intérêt. Y a-t-il une place dans le RGPD pour ce genre d’injonction, alors que le principe de l’autorité chef de file est clairement posé et confie à une seule autorité la supervision de ses « clients » ? La question se pose. Peut-être la réponse est-elle dans l’esprit plus que dans la forme : non le CEPD ne peut pas enjoindre (au sens juridique et contraignant) une autorité d’enquêter, mais les autorités nationales ayant le devoir de superviser activement leurs « clients », elle doivent ouvrir une enquête si elles ont des raisons de soupçonner une violation du RGPD. Or, la demande du CEPD constitue un tel soupçon.
Pour autant, l’essentiel n’est pas là.
La vraie inquiétude provient du fait que le principe de l’autorité chef de file repose sur une condition fondatrice sine qua non : la confiance réciproque.
Or, il est désormais acquis que :
Aussi bien sur le fond (ses positions très isolées ainsi que le montant des amendes) que sur la forme (la manière dont elle gère les enquêtes et plaintes), la DPC entend faire de l’Irlande un paradis data friendly pour les GAFAM, et qu’elle est prête à déterrer la hache de guerre pour arriver à ses fins.
Les autorités des autres pays membres, ainsi que le parlement européen, ont perdu toute confiance dans la DPC que certains voudraient mettre sous tutelle (voir à ce sujet les déclarations du médiateur européen).
Si le CEPD émet une demande d’enquête, c’est en définitive parce que la DPC ne le fait pas elle-même et que la façon dont elle gère les plaintes pose de nombreuses questions (accès au dossier, transparence, délai, etc.).
Vous avez dit confiance ?
Plus d’infos?
Les deux décisions de la DPC dont disponibles en annexe