Quand vous confiez des données personnelles à une entreprise, celle-ci a trois moyens pour légitimer leur utilisation : elle demande votre consentement ou elle estime que ce traitement est essentiel pour vous fournir le service auquel vous vous attendez ou elle considère qu'elle a un intérêt légitime qui l'emporte sur les droits et liberté des personnes. Dans ces deux derniers cas, vous ne pouvez que faire confiance à l'entreprise en espérant qu'elle n'exagère pas. Mais dans le premier cas, qui passe souvent par des cookies, est-ce vraiment mieux si vous cliquez sans le lire le message de mise en garde sur les cookies ?
La Cour européenne vient de mettre un peu d'ordre. C'est le consentement qui doit l'emporter, et ce, dans le cadre d'un litige qui implique Meta, lequel n'est pas très économe sur la collecte de données qu'elle opère quand vous utilisez Facebook, sans compter les services des sociétés sœurs Instagram et WhatsApp. Tout ce que Meta collecte, ce que vous faites sur Facebook, vers où vous allez sur Internet est associé à votre compte Facebook pour vous fournir, grande promesse de Meta, du contenu personnalisé mais aussi des publicités ciblées.
Cette promesse de contenu personnalisé, si liée à Facebook, pourrait être considéré comme le service que vous fournit Facebook, de sorte qu'il ne faut pas de consentement pour laisser Meta pomper tous vos mouvements sur Internet car, sans cela, le contenu personnalisé ne pourrait l'être.
Pour la Cour européenne de Justice, c'est non : le contenu personnalisé n'est pas forcément le service de base auquel s'attend l'utilisateur de Facebook. Quant à la publicité personnalisée, on l'imagine sans peine, elle est encore plus éloignée du service de base attendu. Là, Facebook s'attendait sans doute à ce que la Cour européenne de Justice reconnaisse son intérêt légitime, pour ne pas dire vital : c'est le seul moyen pour Facebook de gagner de l'argent pour financer le service qui est offert gratuitement aux utilisateurs de son réseau.
Meta doit avoir votre consentement
Ce n'est même pas une autorité de protection des données qui est à l'origine de cet arrêt mais l'autorité de la concurrence allemande. Cette dernière a constaté, dans le cadre de son investigation sur la position dominante de Facebook sur son marché, que cette attitude de Facebook constituait un nouvel élément à charge contre lui. Mettre fin à cette pratique de ne pas demander de consentement faisait partie des remèdes à apporter contre sa position dominante (ce qui ne manque pas de sel : le RGPD au secours du droit de la concurrence !). Les conditions générales d'utilisation de Facebook doivent être adaptées.
La position dominante de Facebook en devient, pour la Cour, une circonstance aggravante : dans quelle mesure le consentement donné par l'utilisateur du réseau est-il librement consenti face à un mastodonte qui pourrait décider de mettre fin à la relation en cas de refus ou de proposer un service dégradé, imagine-t-on.
Et la Cour européenne de Justice ne s'arrête pas là : à force de collecter des données du client sur les sites visités, les apps utilisées et l'usage de WhatsApp et Instagram, Meta se construit une image très précise (et sensible) de vous : cela pourrait en dire long sur l'état médical, les origines raciales, ethniques ou religieuses et l'orientation sexuelle, toutes données dont le traitement sans consentement explicite est interdit par le RGPD. Le RGPD prévoit une exception, à savoir si l'utilisateur final a manifestement rendu public ces données sensibles. Visiter ces sites ne signifie pas qu'on rend public son comportement aux yeux de Meta et du reste du monde.
Cet arrêt de la Cour européenne de Justice met l'accent sur le consentement, encore et toujours : ne prenons jamais pour acquis que le client est d'accord pour voir ses données traitées dans le cadre du service qui lui est fourni.
______
Les « dark stores » sont bien des entrepôts, le Conseil d'Etat donne raison au gouvernement
Sujets les + commentés