Données à caractère personnel : peut-on marchander l’usage d’un droit fondamental ?

Données à caractère personnel : peut-on marchander l’usage d’un droit fondamental ?

Veille Juridique n°54 – Décembre 2022

Données à caractère personnel : peut-on marchander l’usage d’un droit fondamental ? Commenter les procédures à l’encontre de Meta, la société mère de Facebook, WhatsApp et Instagram, pourrait devenir lassant, tant celle-ci s’attire les foudres des autorités de protection des données. 

La société est en effet la plus sanctionnée des GAFAM depuis l’entrée en vigueur du RGPD, et vient à nouveau de se voir infliger une amende de 390 millions d’euros.

Les récentes décisions du Comité européen de protection des données (EDPB), qui viennent d’être mises en œuvre par l’autorité irlandaise de protection des données en ce début d’année, méritent toutefois notre attention à plus d’un titre.

D’une part, parce qu’elles constituent l’épilogue d’une passe d’arme entre l’autorité irlandaise de protection des données et ses homologues européens, d’autre part parce qu’elles clarifient le cadre légal du profilage publicitaire dans un contexte qui dépasse le cas particulier de Meta.

Les décisions adoptées par l’EDPB le 6 décembre dernier l’ont été dans le cadre de la procédure européenne de règlement des litiges (article 65 du RGPD) entre autorités nationales de protection des données.

Elles ont été suivies par la publication ce 4 janvier de la position définitive de l’autorité irlandaise, qui s’aligne sur les conclusions de l’EDPB.

En tant que chef de file dans ce dossier, l’Irlande s’était trouvée en désaccord avec ses pairs sur des questions concernant plusieurs traitements de données opérés par Facebook, WhatsApp et Instagram.

Les décisions adoptées par l’EDPB règlent le différent sur trois points principaux : la base juridique du traitement (art. 6 GDPR), les principes de protection des données (art. 5 GDPR) et le recours à des mesures correctives, y compris des amendes.

Le point qui nous intéresse plus particulièrement est la question de la base légale des traitements de la société, Meta considérant – avec le soutien de l’autorité irlandaise, que les données des utilisateurs pouvaient être collectées à des fins de publicité comportementale (ou d’amélioration du service dans le cas de WhatsApp), en utilisant la base légale de l’exécution du contrat.

Précisons que jusqu’à l’entrée en vigueur du RGPD, Meta légitimait la publicité comportementale par l’obtention du consentement des utilisateurs.

La société a modifié ses conditions générales le 25 mai 2018 pour y intégrer cette finalité de ciblage publicitaire, considérée dès lors comme partie intégrante du service qu’elle propose, et limitant de facto le contrôle des utilisateurs sur l’utilisation de leurs données.

La société a fait valoir qu’elle n’avait pas besoin d’obtenir de consentement parce que ce ciblage en ligne fait partie du service qu’elle offre aux utilisateurs.

Rappelons que le consentement, comme la nécessité des données dans le cadre de l’exécution d’un contrat, figurent parmi six bases juridiques de l’article 6(1) du RGPD permettant de justifier la licéité d’un traitement.

Ces bases légales sont-elles pour autant interchangeables ?

La doctrine européenne en la matière est claire, et vient d’être confirmée :  la nécessité contractuelle doit être interprétée de façon étroite et les données collectées être strictement nécessaires au service fourni, comme l’est par exemple la collecte de données d’une carte de crédit en vue d’un paiement en ligne.

Dans son avis du 8 octobre 2019 sur les services en ligne, l’EDPB considérait déjà que la publicité comportementale n’est pas un élément nécessaire des services en ligne.

Un détaillant en ligne qui souhaiterait par exemple établir des profils des goûts et des choix de vie d’un utilisateur sur la base des visites de son site web ne peut se baser sur l’exécution d’un contrat d’achat pour établir ces profils.

Même si le profilage est spécifiquement mentionné dans le contrat, ce seul fait ne le rend pas « nécessaire » à l’exécution du contrat.

Si le détaillant en ligne souhaite procéder à ce profilage, il doit se fonder sur une autre base juridique.

Cette position a été confirmée par l’EDPB dans ses lignes directrices du 13 avril 2021 sur le ciblage des utilisateurs de réseaux sociaux.

On relève néanmoins qu’un nombre croissant de services en ligne se présentent comme gratuits, alors qu’ils sont en réalité rémunérés par les données des utilisateurs, qui constituent la contrepartie du service en ligne.

Peut-on dès lors « payer avec ses données » ?

Cette question de la contractualisation des données n’est pas nouvelle, mais elle se pose avec une acuité certaine aujourd’hui.

Même si les publicités servent à supporter le service, le traitement à des fins de marketing direct est en principe considéré comme différent du but objectif du contrat entre la personne concernée et le fournisseur du service, ce qui implique que l’utilisateur doit rester libre de consentir ou non au ciblage publicitaire.

En 2017, Le Contrôleur européen de la protection des données mettait en garde dans un avis sur les contrats de fourniture de services numériques « contre toute nouvelle disposition qui introduirait l’idée selon laquelle les personnes peuvent payer avec leurs données de la même manière qu’elles peuvent payer avec de l’argent.

En effet, les droits fondamentaux, comme le droit à la protection des données à caractère personnel, ne peuvent être réduits aux seuls intérêts des consommateurs, et les données à caractère personnel ne peuvent être considérées comme une simple marchandise. »

Certains considèreront que payer avec ses données ne revient pas à renoncer à ses droits fondamentaux.

Relevons également la position ambiguë de la CNIL au sujet des « paywalls » qui conditionnent l’accès à un site internet à un paiement pour les utilisateurs qui refusent le dépôt de cookies, la Commission indiquant sur son site examiner ces questions au cas par cas.

Doit-on dès lors s’attendre à ce que Meta fasse payer les utilisateurs qui refusent le profilage publicitaire ?

Comme le souligne à juste titre l’ONG NOYB, à l’origine de la plainte contre Meta, le litige tranché par l’EDPB ne porte que sur ce profilage, et n’a pas d’impact sur les autres formes de publicité telles que les publicités contextuelles, basées sur le contenu d’une page.

La position de l’EDPB aura certes un impact sur les finances de Meta, mais n’exclut pas totalement la publicité.

Elle devrait au contraire rétablir une saine concurrence entre Meta et les autres fournisseurs de services en ligne, ainsi qu’entre les sociétés soumises au droit irlandais et celles établies ailleurs en Europe.

Et aussi

France :

Le 19 décembre 2022, la CNIL a sanctionné la société MICROSOFT IRELAND OPERATIONS LIMITED à hauteur de 60 millions d’euros pour utilisation illégale de cookies sur son moteur de recherche « bing.com ».

Il est reproché à la société de ne pas avoir mis en place un mécanisme permettant de refuser les cookies aussi facilement que de les accepter.

La CNIL justifie ce montant par la portée du traitement, par le nombre de personnes concernées et par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies.

Le 30 novembre 2022, la CNIL a prononcé une sanction de 300 000 euros à l’encontre de la société FREE.

Les contrôles ont permis de constater plusieurs manquements, notamment aux droits des personnes concernées (droit d’accès et droit d’effacement) ainsi qu’à la sécurité des données : la Commission pointe la faible robustesse des mots de passe, le stockage et la transmission en clair des mots de passe, et la remise en circulation d’environ 4 100 boîtiers « Freebox » mal reconditionnés.

Elle a en outre rejeté l’argument selon lequel les sources de données personnelles du responsable du traitement devraient être considérées comme des « secrets d’affaires ».

Dans une publication du 5 décembre 2022, la CNIL rappelle les règles à respecter lors de la vente d’un fichier client à des fins commerciales: le fichier ne doit contenir que les données des clients actifs et pour une durée maximum de trois ans après la fin de la relation commerciale, seules les données des clients qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consenti peuvent être vendues, et l’acquéreur devra assurer le respect des droits des personnes (notamment, information claire et consentement à la prospection électronique).

La CNIL a enfin sanctionné ce 4 janvier APPLE DISTRIBUTION INTERNATIONAL à hauteur de 8 millions d’euros pour ne pas avoir recueilli le consentement des utilisateurs français d’iPhone utilisant l’ancienne version d’iOS 14.6 avant de déposer et/ou d’écrire des identifiants utilisés à des fins publicitaires sur leurs terminaux.

Europe :

La présidence suédoise du Conseil de l’UE a publié le 14 décembre dernier ses priorités pour les six prochains mois : le numérique n’est pas en tête des préoccupations, compte tenu des débats actuels concernant la sécurité et la résilience économique et énergétique dans le contexte du conflit russo-ukrainien.

La Suède précise néanmoins qu’elle poursuivra les travaux entamés en ce qui concerne le règlement sur les données (« Data act »), le règlement « vie privée et communications électroniques » ainsi que la proposition de règlement relatif à un espace européen des données de santé.

La Commission européenne a publié le 13 décembre 2022 son projet très attendu de décision d’adéquation concernant le niveau de protection des données aux États-Unis.

Cette décision entend apporter une base légale pérenne aux transferts UE-USA suite à la décision « Schrems II » de la Cour de Justice de l’UE datant de juillet 2020, qui avait invalidé le « Privacy Shield ».

Avant qu’une décision finale puisse être adoptée, le projet doit encore être examiné par le Comité européen de la protection des données (EDPB), et approuvé par le comité des représentants des États membres de l’UE.

Le Parlement européen dispose également d’un droit de regard sur les décisions d’adéquation.

La Commission européenne a publié le 15 décembre 2022 une déclaration sur les droits et principes numériques pour la décennie numérique.

La déclaration ambitionne de guider les décideurs politiques dans leur vision de la transformation numérique selon les axes suivants : une transformation numérique centrée sur les citoyens, soutenant la solidarité et l’inclusion, un rappel  de l’importance de la liberté de choix dans les interactions avec les algorithmes et les systèmes d’intelligence artificielle, et un accroissement de la sûreté, la sécurité et l’autonomisation, en particulier pour les enfants et les jeunes, tout en garantissant le droit à la vie privée et le contrôle des personnes sur leurs données.

Après un an d’enquête, la Médiatrice de l’UE a publié sa décision datée du 19 décembre 2022, concernant la plainte du Conseil irlandais pour les libertés civiles (ICCL) contre la Commission européenne pour absence de contrôle adéquat de l’application du RGPD par l’Irlande.

Cette décision insiste sur la nécessité d’une meilleure surveillance par la Commission européenne de l’évolution de chaque affaire concernant la Big Tech dont la Commission irlandaise de protection des données est saisie.

La Cour de justice de l’Union européenne a précisé dans un jugement du 8 décembre dernier les conditions dans lesquelles les citoyens européens peuvent obtenir de Google qu’il supprime les résultats de recherches les concernant.

L’affaire concernait deux gestionnaires d’investissement ayant demandé à Google de déréférencer les résultats d’une recherche effectuée sur la base de leur nom, qui fournissait des liens vers certains articles critiquant leur modèle d’investissement.

La Cour a jugé que « le droit à la liberté d’expression et d’information ne peut être pris en compte lorsque, à tout le moins, une partie – qui n’est pas d’importance mineure – des informations trouvées dans le contenu référencé s’avère inexacte ». Les personnes qui veulent éliminer des résultats inexacts des moteurs de recherche doivent fournir des preuves suffisantes (et raisonnables) que ce qui est dit à leur sujet est faux

L’autorité néerlandaise de protection des données a publié le 22 décembre une déclaration concernant ses compétences de supervision des algorithmes en matière de transparence, de discrimination et d’arbitraire.

Aux Pays-Bas également, une étude du groupe néerlandais de défense de la vie privée Incogni révèle que de nombreuses applications d’achat populaires, y compris d’Amazon, sont accompagnées de pratiques douteuses concernant le partage des autorisations d’accès avec des bibliothèques de publicité, ce qui permet aux réseaux publicitaires d’accéder indirectement à l’appareil. 

L’autorité grecque de protection des données a infligé une amende de 150 000 € à Vodafone PANAFON S.A. pour absence de mesures techniques et organisationnelles appropriées pour protéger la sécurité de ses services de communication électronique.

L’autorité islandaise de protection des données a ordonné à un atelier de réparation automobile de se conformer à une demande d’accès au titre de l’article 15 du RGPD et de fournir à la personne concernée les données relatives à toutes les réparations et à tous les services effectués sur sa voiture alors qu’elle était en sa possession.

L’autorité portugaise de protection des données a infligé un blâme et une amende de 170 000 euros à la municipalité de Setubal pour violation du principe d’intégrité et de confidentialité, du principe de limitation du stockage, des obligations d’information prévues à l’article 13 du RGPD et pour ne pas avoir désigné un délégué à la protection des données dans le cadre de la collecte de données à caractère personnel de réfugiés ukrainiens qui utilisaient une ligne d’assistance téléphonique au Portugal.

L’autorité portugaise de protection des données a également sanctionné l’Institut national de statistique pour non-respect du RGPD, notamment pour avoir envoyé aux États-Unis des données à caractère personnel issues du recensement de 2021 et pour ne pas avoir procédé à analyse d’impact en matière de protection des données.

L’autorité italienne de protection des données a infligé une amende de 2 000 000 € à Alpha Exploration pour avoir exploité le réseau social Clubhouse en violation des dispositions du RGPD relatives à la licéité et à la transparence, pour ne pas avoir évalué les risques découlant du traitement et pour avoir nommé un représentant de l’UE sans le mandat requis pour agir au nom du responsable du traitement.

L’autorité italienne de protection des données a en outre sanctionné à hauteur de 500 000 € à l’opérateur de télécommunications Vodafone Italia pour avoir traité des données à caractère personnel à des fins de marketing direct sans motif légal, pour avoir recueilli un consentement générique pour des opérations distinctes de traitement des données et pour avoir fourni des informations sur le traitement des données à caractère personnel de manière incompréhensible.

L’autorité espagnole de protection des données a infligé une amende de 5 000 euros à un adolescent de 16 ans pour avoir utilisé des vidéos et des photos reçues via WhatsApp afin de faire chanter un mineur de 13 ans qui ne pouvait pas exprimer de consentement valable. L’APD a également ordonné à l’adolescent de supprimer toute autre donnée personnelle concernant la personne concernée et de rendre compte des mesures adoptées à cet effet. 

International

Etats-Unis : Epic Games, le fabricant du jeu vidéo Fortnite, devra payer plus d’un demi-milliard de dollars pour avoir violé la loi sur la protection de la vie privée des enfants (COPPA), modifié les paramètres de confidentialité par défaut et incité les utilisateurs à effectuer des dépenses non souhaitées.

Les accords conclus par la Federal Trade Commission avec Epic Games ont été rendus publics par la FTC le 15 décembre dernier.

Dans une publication du 29 décembre, The Guardian indique que le fabricant chinois de caméras de surveillance Hikvision a mis en place une plateforme logicielle visant à aider la police à suivre les activités des manifestants.

La police chinoise pourrait ainsi mettre en place des alertes pour diverses types de manifestations, tels que « rassemblement de foules perturbant l’ordre dans les lieux publics », « rassemblement illégal, procession, manifestation » et menaces de « pétition ».

Les pays de l’OCDE ont adopté le 14 décembre 2022 le premier accord intergouvernemental en matière de vie privée lors de l’accès à des données personnelles à des fins de sécurité nationale et d’application de la loi.

Les principes définissent la manière dont les cadres juridiques réglementent l’accès des pouvoirs publics, les normes juridiques appliquées en cas de demande d’accès, la manière dont l’accès est approuvé et dont les données qui en résultent sont traitées, ainsi que les efforts visant à assurer la transparence vis-à-vis du public.

Des solutions techniques voient le jour afin de permettre à la fois aux utilisateurs de contrôler l’utilisation de leurs données et aux responsables de traitement de gérer les données en ligne en conformité avec les principes de protection des données.

Outre le Global Privacy Control qui voit aujourd’hui sont utilisation se développer dans le contexte de la gestion du consentement en ligne, la plateforme de gestion du consentement CookieFirst offre un contrôle avancé aux utilisateurs pour les services tiers et les cookies qu’ils définissent, et utilise des sous-traitants basés dans l’UE pour le stockage des données.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.