Après des années à ne pas vouloir demander le consentement de ses utilisateurs avant de leur présenter de la publicité en fonction de leur comportement sur ses réseaux sociaux, Meta se résigne à le faire en Europe, sous la pression d'une partie des régulateurs de l'Union qui considèrent que le RGPD l'oblige.
Dans une mise à jour d'un billet de blog expliquant comment Meta interprète les lois européennes (et notamment le RGPD) sur le traitement des données personnelles concernant la publicité, l'entreprise a annoncé mardi qu'elle allait finalement demander le consentement de l'utilisateur avant de mettre en place son système de publicité comportementale.
En clair, Instagram et Facebook devraient bientôt vous demander l'autorisation de vous présenter des publicités ciblées, par exemple pour la marque de montres dont vous avez visité le site il y a quelques jours ou pour des culottes menstruelles.
Un bras de fer depuis cinq ans
Mais Meta ne change pas ce fonctionnement de gaieté de cœur. Il a fallu plusieurs années de batailles juridiques autour du RGPD avant qu'elle ne se résigne à bien vouloir demander le consentement de ses utilisateurs.
Le 25 mai 2018, l’association autrichienne de défense de la vie privée noyb avait déposé plainte, parlant de « consentement forcé » en s'appuyant sur le RGPD applicable depuis le jour même.
C'est seulement en janvier dernier que la Data Protection Commission (DPC), l'équivalent de la CNIL en Irlande, a annoncé, sous pression de ses homologues européennes, infliger une amende de 390 millions d'euros (210 millions pour Facebook et 180 millions pour Instagram) pour ne pas avoir clairement exposé à ses utilisateurs les informations sur les opérations de traitement de leurs données à caractère personnel et leurs finalités, et ne pas avoir demandé leur consentement.
Le 4 juillet dernier, la Cour européenne de justice s'est prononcée pour une même interprétation du RGPD en relevant que « malgré la gratuité des services d’un réseau social en ligne tel que Facebook, l’utilisateur de celui-ci ne saurait raisonnablement s’attendre à ce que, sans son consentement, l’opérateur de ce réseau social traite les données à caractère personnel de cet utilisateur à des fins de personnalisation de la publicité. Dans ces conditions, il doit être considéré que les intérêts et les droits fondamentaux d’un tel utilisateur prévalent sur l’intérêt de cet opérateur à une telle personnalisation de la publicité par laquelle il finance son activité, de sorte que le traitement effectué par celui-ci à de telles fins ne saurait relever de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD ».
Après cette décision, Meta avait peu de chance de pouvoir retourner la situation, même avec une DPC complaisante à son endroit. Enfonçant le clou, la CNIL norvégienne interdisait, mi-juillet et temporairement, la publicité contextuelle de Meta en s'appuyant sur cette décision de la Cour européenne.
- RGPD : 390 millions d'euros d'amende pour Meta
- La CNIL norvégienne interdit temporairement la publicité contextuelle de Meta
En attente d'application
Dans un communiqué de l'association noyb, Max Schrems a réagi à l'annonce de Meta : « Après plus de cinq ans de procédure, Meta arrive enfin à la conclusion qu'il doit demander aux gens s'il est autorisé à les espionner à des fins publicitaires. Il a fallu que des ONG et une autorité allemande intentent un procès pour que nous en arrivions là, alors que le régulateur irlandais n'a cessé de protéger Meta ».
Si Meta explique sa nouvelle position, elle n'a pas pour autant encore changé la mise en œuvre de son système de publicité comportementale. Les utilisateurs de ses plateformes vont devoir encore attendre un peu avant de pouvoir choisir s'ils lui permettent d'adapter la publicité aux données qu'elle collecte sur eux ou non.
Et Max Schrems exprime encore son scepticisme : « Nous verrons si Meta applique réellement l'obligation de consentement à toutes les utilisations de données personnelles à des fins publicitaires. Jusqu'à présent, il est question de publicités "hautement personnalisées" ou "comportementales", mais ce que cela signifie n'est pas clair. Le RGPD couvre tous les types de personnalisation, y compris sur des éléments tels que l'âge, qui n'est pas un "comportement". Il est évident que nous poursuivrons le contentieux si Meta n'applique pas pleinement la loi ».
Impacts financiers
Dans sa mise à jour, Meta semble vouloir rassurer les annonceurs utilisant ses plateformes : « Il n'y a pas d'impact immédiat sur nos services dans la région. Une fois ce changement mis en place, les annonceurs pourront toujours mener des campagnes publicitaires personnalisées afin d'atteindre des clients potentiels et de développer leurs activités. Nous avons tenu compte de ce changement dans nos perspectives commerciales et dans les informations publiques que nous avons communiquées à ce jour ».
Mais comme le souligne le Wall Street Journal, « l'impact sur les recettes publicitaires pourrait être important. Si un grand nombre d'utilisateurs refusent les publicités basées sur leur activité sur Instagram ou Facebook, les systèmes de Meta se retrouveraient avec moins de signaux pour déduire les intérêts et construire des audiences pour les publicités qui constituent la majeure partie de ses revenus. Cela pourrait rendre ses publicités moins efficaces, ce qui pourrait peser sur les prix ».
Et les pays de l'Espace économique européen (EEE), dans lesquels s'applique le RGPD, ne sont pas insignifiants financièrement pour Meta. Le Wall Street Journal fait remarquer que l'entreprise a déclaré générer 23 % de ses 31,5 milliards de dollars de recettes publicitaires au deuxième trimestre dans la région Europe (qui comprend certes, dans l'annonce dans les chiffres de Meta, le Royaume-Uni et la Turquie dans lesquels le RGPD ne s'applique pas, mais dans laquelle l'EEE pèse de façon importante).
Commentaires (22)
#1
Enfin !
#2
Une bonne nouvelle !
#3
Donc Meta enfreint la loi européen depuis 5 ans, je trouve donc un peu léger les amendes qu’ils ont eu jusqu’à présent. Au finale ça a du leur rapporté beaucoup plus d’être hors la loi et de payé de maigres amendes que de ce conformer au RGPD.
#3.1
classic corporate capitalism
#3.2
d’aucun dirait qu’une amende est un passe droit pour les riches et un humiliation pour les autres.
On constate ce comportement depuis l’aube des civilisations.
#3.3
Elles sont surtout en décalage avec l’immense puissance financière de ces entreprises. Le RGPD commence à avoir quelques années tandis que des règlements plus récents comme le DSA ont augmenté les “tarifs” en passant à 6% du CA mondial et une astreinte à 1% du CA mondial par jour (là où le RGPD est à 2 ou 4% selon le type de violation).
Par exemple pour Meta, l’entreprise a généré 116,909 milliards de dollars de CA en 2022 pour 23,200 milliards de bénéfices. Une amende de 6% du CA lui coûterait dans les 7 milliards. Rapporté au bénéfice, ça risque de faire grincer des dents.
Cela dit, peu de chances que les montants maximums soient appliqués (même l’amende dite “record” du RGPD contre Meta dernièrement représentait quelques 1% de son CA il me semble) notamment à cause de la proportionnalité des sanctions.
Et payer pour être traqué, la routine.
#3.4
est ce que l’amende est sur le CA annuel instantané ou alors le calcul se fait depuis le dépôt de plainte?
#3.5
De mémoire le RGPD et le DSA indiquent qu’elles sont calculées sur le dernier exercice annuel.
#3.6
Je ne me rendais pas compte ce que l’amende represente.
Le bénéfice annuel net de Meta est de 39.370 Mds.
L’amende de 390 millions ne représente que 0.01% du bénéficie net. Mener sa loi pendant 5 ans, récolter un maximum de pognon sur cette période et à la fin se prendre une prune aussi petite, c’est ridicule.
Tant que bénéfice amassé est supérieur à l’amende, ils est toujours plus intéressant pour eux de continuer a piétiner la vie privée des utilisateurs.
Le jour où il y aura des amende de 5-10% du bénéficie réalisé, ça va continuer pour tout les GAFAM.
#4
Et pourra-t-on enfin s’opposer à notre “shadow profile” lorsque l’on n’a aucun compte chez Meta, ainsi que leur demander d’effacer et ne plus collecter les infos partagées par nos “amis” (nom, mail, tél…) ? 🤔
#4.1
Tiens puisque le sujet te préoccupe, est-ce que tu as des infos sur Google et Apple ? Je pense en particulier au fait que j’ai beau ne pas vouloir leur divulguer mon identité, mon nom + numéro de tel est certainement dans un paquet de carnets d’adresse répliqués sur leurs serveurs.
#5
Ou ça finira comme avec d’autres sites : “acceptez d’être traqué ou payez notre abonnement à 3€/mois.”
C’est l’occasion pour Facebook d’introduire son offre payante.
#6
Je pense que nombre d’avocats spécialisés dans les Class Action n’ont pas manqués de faire constater par huissier que Facebook a déjà indiqué “C’est gratuit et ça le sera toujours” sur sa page d’accueil pendant plus de 10 ans, prêts à monter au créneau sitôt qu’il y aura un petit bout de chantage financier !
Ce sera plutôt une démultiplication des pubs en cas de refus du ciblage, histoire de nous dissuader de l’activer. Cela étant, vu que l’espace est vendu moins cher quand il est générique, est-ce qu’on pourrait vraiment leur reprocher…
#7
Si Meta chipote sur la mise en place et joue avec les mots, on risque bien de repartir pour 5 ans de procédure, pour aboutir a quelques millions d’amende, et rebelote.
Pendant ce temps là Facebook génère des milliards de bénéfices, tout va bien.
#8
FB va-t-il jouer la montre en attendant l’adoption de Cohort, Web Environment Integrity ou autre truc du même genre qui va profiler les individus directement dans le browser ? Mystère.
#9
J’attends de voir la tête de la demande de consentement. S’il y a du dark pattern dans tous les sens ça ne changera pas grand chose pour la majorité des utilisateurs malheureusement.
Je m’attends à encore des années de pirouettes juridiques pour qu’il soit reconnu que le consentement n’est pas libre et donc nul. Mais évidemment en pratique ça ne sera pas rétroactif et le mal sera déjà fait pour les utilisateurs existants.
#10
J’ai montré un article sur mon téléphone à un ami. La première chose qu’il a fait c’est de cliquer sur “j’accepte” du bandeau des cookies.
Le dark pattern n’est pas vraiment nécessaire d’après la CNIL plus de la moitié des utilisateurs (+/- 60%) ont tendance à accepter en France. C’était 75% en 2019. (article complet).
Vu la popularité du cookiewall je suppose que les gens ont tendance à accepter. (de mon coté je le fais en navigation privée, mais je ne suis pas certain que ce soit une bonne pratique).
Je pense que ma meilleure défense c’est Facebook container mais même avec ça je ne suis pas convaincu.
#10.1
Pour ma part : pas de javascript en général, et un gros “non” pour Facebook (plus facile certe quand on a pas de compte !).
Derrière on ajoute l’effacement du stockage à la fermeture du navigateur.
Et le truc multi-compte/conteneur pour cloisonner un peu plus (par exemple les sites de shopping dans leur petit conteneur).
Et si tu as le cœur : multiples Firefox. Ça complique un peu la vie. Si tu veux faire ça il te faut MOZ_NO_REMOTE=1 dans ton environnement avant de lancer Firefox.
Tips : tu lances un premier Firefox, en principe c’est lui qui ouvrira les liens des autres applis. Ceux ouvert avec le “no remote” seront laissés dans leur coin.
#10.2
Au fait tout ça n’empêche pas le suivi bien sûr… Mais du coup j’ai des pubs “ciblées” sur mon foyer, pas sûr moi.
#10.3
La plupart des bannières cookies ont des dark patterns, donc forcément les utilisateurs sont conditionnés à accepter machinalement, car ils savent que s’ils tentent de refuser ils vont perdre du temps dans des sous menus alors qu’accepter se fait en un clic sur le gros bouton coloré.
Les stats de la CNIL sont donc une farce, tout comme elle qui laisse ces violations proliférer.
La position des autorités sur le cookies wall est pitoyable et absurde.
La navigation privée est insuffisante : Les traceurs sont toujours déposés. Certes temporairement, mais ils siphonnent quand même le temps de la session.
La meilleure extension c’est uBlock Origin car elle bloque la plupart des traceurs, que tu acceptes ou non (et sur beaucoup de sites on te trace dès que tu arrives ou même si tu refuses…)
Je ne vois pas l’intérêt d’installer des extensions comme Facebook Container ciblant tel ou tel traceur/entreprise spécifiquement, on aurait toujours une longueur de retard et ça serait sans fin. Il y a d’autres grands annonceurs, Facebook n’est pas le seul.
Tu dois bien t’amuser à utiliser le web moderne sans JS… Ce n’est pas réaliste.
#10.4
OK je précise : pas de js par défaut.
Activation sélective, oui, beaucoup de sites ne marchent pas du tout sans JS.
#11
La publicité ciblée (médias sociaux, publicité de rue, cartes fidélité de magasins, etc) est comme les contenus pornographiques : tant que ça fait consommer, que ça rend la population docile, ça existera. On verra sûrement plus de contenus problématiques qu’il y en a déjà sur les services de Meta (par ex. les Reels de Facebook/instagram sont devenus aussi suggestifs que les vidéos TikTok, ça twerke pas mal sur Facebook).