Après que d’importantes mesures de protection de la vie privée ont finalement frappé les activités de suivi des publicités de Meta en Europe plus tôt cette année, le géant de la technologie a confirmé il modifiera la base juridique qu’il revendique pour les utilisateurs de microciblage dans la région.

Il ne demandera toujours pas aux gens leur consentement initial à sa publicité comportementale alimentée par les données. Mais il devra offrir aux utilisateurs de l’Union européenne une option de non-participation s’ils choisissent d’exercer leur droit d’opposition, ce qui est une première.

En janvier, Meta a été condamné à une amende d’environ 410 millions de dollars après avoir constaté qu’il avait enfreint le règlement général sur la protection des données (RGPD) de l’UE en manquant de base légale valable pour la publicité comportementale et en violant les principes de transparence et d’équité du règlement – et a eu trois mois pour obtenir son maison en ordre.

Maintenant, dans une mise à jour de son précédent article de blog à propos de l’application, Meta écrit qu’à partir du 5 avril, elle revendiquera une base d' »intérêts légitimes » (LI) pour le traitement des informations des citoyens de l’UE afin de les cibler avec de la publicité.

(par GIPHY)

Publicité

L’intérêt légitime est l’une des six bases juridiques possibles pour le traitement des données personnelles dans le cadre du RGPD de l’UE. Bien qu’au moins la moitié des bases juridiques disponibles ne soient tout simplement pas pertinentes, étant donné la nature de l’empire commercial de Meta, qui n’a pas pour vocation d’offrir des services vitaux, fondés sur l’intérêt public ou légalement requis.

Le géant de la technologie avait revendiqué un autre des six pour diffuser de la publicité comportementale basée sur le suivi et le profilage — nécessité contractuelle — mais Les régulateurs de l’UE ont jugé cela illégal.

Meta conteste cette conclusion – et fait appel de l’application – mais un délai de trois mois imposé par le régulateur pour fixer sa conformité au RGPD se profile au début du mois prochain, il doit donc faire quelque chose pour réinitialiser sa demande de conformité dans l’intervalle, c’est-à-dire pendant que son armée des avocats essaient de comprendre comment faire monter l’eau.

Dans sa mise à jour de blog sur le changement à venir, Meta a écrit :

En décembre, la Commission irlandaise de protection des données a constaté que Facebook et Instagram devaient modifier leur approche de la base juridique du RGPD dans le but de diffuser des publicités comportementales en Europe. Pour s’y conformer, à partir du mercredi 5 avril, nous modifions la base juridique que nous utilisons pour traiter certaines données de première partie en Europe de « nécessité contractuelle » à « intérêts légitimes ». Le RGPD stipule clairement qu’il n’y a pas de hiérarchie entre les bases juridiques, et aucune ne doit être considérée comme plus valide qu’une autre.

Il est important de noter que cette modification légale n’empêche pas la publicité personnalisée sur notre plateforme, ni n’affecte la façon dont les annonceurs, les entreprises ou les utilisateurs expérimentent nos produits. Les annonceurs peuvent continuer à utiliser nos plateformes pour atteindre des clients potentiels et développer leur activité. Les utilisateurs concernés seront également informés de ce changement, ce qui leur donnera des options supplémentaires sur la façon dont nous traitons certaines informations pour diffuser des publicités comportementales. Cette base juridique est utilisée par des plateformes similaires, et nos Politique de confidentialité de l’UE et Conditions d’utilisation sera mis à jour pour refléter ce changement.

Nous pensons que notre approche précédente était conforme au RGPD, et notre appel sur le fond des décisions et des amendes se poursuit. Cependant, ce changement garantit que nous nous conformons à la décision du DPC.

En réponse aux questions sur le passage prévu à LI, le porte-parole de Meta, Al Tolan, a déclaré à fr.techtribune.net : « La nouvelle politique de confidentialité de l’UE sera mise en ligne la semaine prochaine et reflétera le changement de base juridique. Je peux également confirmer que nous avons mené une évaluation des intérêts légitimes. »

Tolan a refusé de fournir une copie de la politique de confidentialité mise à jour ou du rapport d’évaluation de LI lorsque nous avons demandé à les voir, mais a affirmé « nous nous sommes conformés à toutes les directives réglementaires nécessaires pour nous fier à LI ».

Cependant, de nombreux experts de la protection des données de l’UE estiment que Meta ne peut pas compter sur LI pour le suivi et le profilage qui sous-tendent son activité de publicités comportementales – et devra, en fin de compte, demander aux utilisateurs le consentement afin d’être conforme à la vie privée de l’UE. lois (qui incluent l’ancienne directive ePrivacy, ainsi que le RGPD).

Un problème avec Meta essayant de s’appuyer sur LI pour une entreprise de publicité comportementale de surveillance de masse est que ce fondement juridique est censé être utilisé pour le traitement strictement nécessaire (c’est-à-dire qu’il ne peut pas être fait d’une manière moins intrusive, comme – par exemple — faire un ciblage publicitaire contextuel, plutôt qu’un microciblage dérivé de données personnelles).

Les processeurs de données doivent également peser les droits et les intérêts des individus dans des tests d’équilibrage (dans ce cas, la confidentialité et l’absence de suivi). Et tout test d’équilibrage LI pour les activités d’annonces de surveillance de Meta devrait faire une gymnastique sérieuse pour essayer de prétendre que l’intrusion massive dans la vie privée de son micro-ciblage commercial l’emporte sur le droit fondamental des citoyens de l’UE à la vie privée.

Bien que la directive ePrivacy n’autorise pas l’utilisation de LI pour le suivi des publicités ; sauf si les cookies sont « strictement nécessaires », la norme requise est le consentement.

Alors te « quelque chose » que Meta est obligé de faire ici ne semble pas résoudre le problème juridique fondamental auquel il est finalement confronté dans l’UE maintenant que l’application de la vie privée commence à mordre.

Suite aux premiers rapports sur le passage prévu de Meta à LI, qui a été rapporté par le WSJnoyb, le groupe de campagne pour les droits à la vie privée à l’origine des plaintes initiales de «consentement forcé» GDPR contre Facebook, Instagram et WhatsApp depuis mai 2018, a averti qu’il prendrait des mesures «immanentes» en réponse à ce qu’il a décrit comme un nouveau  » pratique illégale » par le géant de la technologie.

noyb ne précise pas exactement quel type d’action il prendra. Mais, dans un communiqué, son fondateur et président Max Schrems a déclaré : « Meta est en train de remplacer une pratique illégale par une autre pratique illégale. nob engagera une action en justice immanente pour arrêter cette mascarade, car il est clair que le régulateur irlandais de Meta sera à nouveau inactif. C’est un jeu absurde et nous allons l’arrêter aussi vite que possible. Comme toute autre entreprise, Meta doit avoir une option claire oui/non pour les utilisateurs, où ils doivent activement dire oui s’ils veulent renoncer à leurs droits fondamentaux.

« Alors que certains soutiennent encore que la publicité passerait outre les droits fondamentaux des utilisateurs, c’est un point de vue minoritaire. Nous ne connaissons personne qui prétende que le profilage et le suivi à l’échelle de Meta juste pour obtenir quelques clics publicitaires rempliraient ce test. Ce système d’utilisation de l’intérêt légitime permet au moins l’opt-out, ce qui en fait une légère amélioration pour les utilisateurs », a ajouté Schrems.

Une considération clé ici est le temps entre les premières plaintes GDPR déposées sur les publicités effrayantes de Facebook et les décisions finales de son autorité principale de protection des données de l’UE, la Commission irlandaise de protection des données (DPC) — qui a pris plus de quatre ans – période pendant laquelle Facebook/Meta a pu poursuivre l’activité lucrative (mais illégale) de suivi, de profilage et de monétisation des globes oculaires des Européens, accumulant bien plus de bénéfices qu’on lui demande de remettre sous forme d’amendes.

Cela signifie – si vous abandonnez la moralité et l’éthique – que les mathématiques simples favorisent la violation de la loi. Et, suivant cette logique mercantile, La «stratégie de conformité» de Meta, si nous pouvons l’appeler ainsi, semble s’articuler sur le saut d’une affirmation douteuse de conformité à la suivante pour s’acheter une autre période d’années afin qu’elle puisse continuer à gagner de l’argent en exploitant la vie privée des personnes pendant que les organismes de réglementation de l’UE tentent de suivre et/ou se chamailler entre eux.

Cela a été le jeu habituel du « coup de taupe » réglementaire à ce jour. Cependant, il y a des raisons de croire que cette approche est à bout de souffle.

Tout d’abord, Meta fait face à d’autres plaintes et mesures d’application du GDPR, telles qu’une décision majeure concernant la suspension de ses flux de données UE-États-Unis. Et à mesure que de plus en plus de ces décisions atterrissent et créent un précédent, il y a sans doute une marge de manœuvre de plus en plus réduite pour trouver des moyens de contourner les exigences de confidentialité. Les règles sont de plus en plus intégrées.

Deuxièmement, TikTok a très récemment tenté de passer du consentement à LI – et a été presque immédiatement sauté par un certain nombre de régulateurs de l’UE, avertissant que l’étape ne serait pas conforme, ce qui l’a rapidement conduit à abandonner le plan.

Ainsi, alors que Meta cherche à passer d’une (fausse) revendication de nécessité contractuelle à une revendication (douteuse, au mieux) de LI – avant laquelle elle s’appuyait apparemment également sur une fausse revendication de consentement, puisqu’elle ne fournissait pas réellement aux utilisateurs un libre choix sur son suivi, ce que le GDPR exige pour que le consentement soit une base valide – il est difficile de voir comment il peut faire quelque chose que les régulateurs de l’UE ont littéralement fustigé TikTok, un autre réseau social axé sur la publicité, lorsqu’il a essayé de le faire.

Et sur le front du RGPD, si le DPC irlandais choisit de détourner le regard sur ce commutateur de conformité malgré son engagement antérieur avec TikTok pour un mouvement similaire, il risque de donner l’impression qu’il favorise injustement Meta par rapport à ses rivaux qu’il supervise – ce qui pourrait inviter un nouvel hôte de problèmes juridiques pour un régulateur déjà aux prises avec beaucoup de ceux-ci.

(Nous avons contacté le DPC avec des questions sur le passage prévu de Meta à LI, mais le sous-commissaire, Graham Doyle, nous a dit qu’il ne commentait pas publiquement pour le moment – ​​disant que Meta avait jusqu’à la semaine prochaine pour envoyer son rapport de conformité conformément à la décision qu’il a rendue en janvier.)

Troisièmement, contrairement au RGPD, la directive ePrivacy ne dispose pas d’un mécanisme d’application centralisé, ce qui signifie que les régulateurs de l’UE sont habilités à intervenir sur leurs propres marchés s’ils soupçonnent des infractions. (L’été dernier, par exemple, la DPA italienne a mis en garde TikTok contre l’utilisation de LI – citant la directive ePrivacy ; une intervention qui a semblé efficace pour couper le plan de TikTok dans l’œuf.)

Donc, si Meta prend cette décision, cela ne nécessitera pas une (longue) attente pour voir si le DPC irlandais va faire quelque chose à ce sujet – les DPA dans les États membres de l’UE comme l’Italie et la France peuvent agir aussi rapidement qu’ils le souhaitent, sous ePrivacy, qui leur donne le pouvoir d’infliger des amendes dissuasives pour les manquements qu’ils identifient. (Et la France a été occupée sur ce front en ce qui concerne les violations de cookies – y compris avec les récentes amendes pour les modèles sombres de Facebook.)

Bien qu’il reste à voir si Meta s’achètera plus d’années, au pluriel, pour éviter de donner aux utilisateurs de l’UE un mot à dire dès le départ sur la question de savoir s’il peut ou non violer leurs droits à la vie privée, le passage à LI s’accompagne d’une exigence immédiate : il doivent offrir aux utilisateurs de l’UE un moyen de s’opposer au traitement. Cela signifie donc qu’il y aura enfin un moyen pour les utilisateurs de l’UE de se retirer de son suivi et de son profilage – ce qui est une grande victoire en soi. Si ce n’est pas encore le package complet pour lequel les défenseurs de la vie privée se sont battus.

Dans son article de blog, Meta ne fait que vaguement allusion à cette désactivation – en écrivant : « Les utilisateurs concernés seront également informés de ce changement, ce qui leur donnera des options supplémentaires sur la manière dont nous traitons certaines informations pour diffuser des publicités comportementales. »

Selon le WSJ, qui cite des personnes familières avec la planification de Meta, le géant de la technologie offrira aux utilisateurs du bloc une option de refus de « certaines publicités hautement personnalisées » – leur permettant de choisir une version de ses services qui les cible avec des publicités basées sur ce que le les rapports appellent «des catégories larges, telles que leur tranche d’âge et leur emplacement général» – donc, vraisemblablement, une forme de ciblage contextuel – sans utiliser de données de suivi telles que les vidéos qu’ils regardent ou le contenu sur lequel ils cliquent dans ses applications.

Meta n’offrira l’opt-out aux publicités comportementales qu’aux utilisateurs de l’UE – de sorte que les utilisateurs aux États-Unis n’auront toujours pas le choix, selon le journal.

Le WSJ rapporte que les utilisateurs qui souhaitent se retirer de la publicité comportementale basée sur le suivi et le profilage de Meta devront soumettre un formulaire s’opposant à son utilisation de leur activité dans l’application pour les publicités – ce qu’il précise que la société évaluera avant la mise en œuvre.

S’il est correct, ce détail semble également intéressant, car – en vertu du RGPD – le droit de s’opposer au marketing direct est absolu et, comme le Notes d’orientation de l’OIC, « vous devez arrêter le traitement lorsque quelqu’un s’y oppose », donc on ne sait pas exactement ce qu’il y aurait à évaluer. (NB : Meta fait également face à un recours collectif au Royaume-Uni sur ce point précis.)

Le géant de la technologie étant sur le point d’être contraint à long, long terme – coups de pied et cris – à donner aux utilisateurs de l’UE une option de retrait simple de son suivi, il sera intéressant de voir combien d’utilisateurs vont de l’avant et exigent le retour de leur vie privée.

Là où les gens se voient offrir la confidentialité, une majorité la saisit généralement – ​​comme, par exemple, les utilisateurs d’iOS refusant le suivi par des tiers une fois qu’apple a rendu obligatoire que les applications sur sa plate-forme demandent la permission aux gens de les suivre. Bien que beaucoup puisse dépendre de la façon dont Meta présente l’opt-out, étant donné son penchant pour la conception de motifs sombres.

Pourtant, le choix de nier l’abus de la vie privée est à venir. Et pour un géant de la surveillance comme Meta, il ne semble pas possible de revenir en arrière depuis ce genre de point de basculement – à moins d’une réforme totale du modèle commercial.

4.6/5 - (34 votes)
Publicité
Article précédentBeast trahit Wolverine et personne ne devrait être choqué
Article suivantGoogle Pixel Fold pourrait effrayer Samsung autant que l’iPhone
Berthe Lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici