Le règlement européen sur la protection des données personnelles (le fameux RGPD) va permettre à l'Europe de frapper un énorme coup contre Meta. Il pourrait même carrément faire exploser son modèle économique et avoir des conséquences systémiques sur l'ensemble des acteurs de la publicité ciblée.
Mardi 6 décembre, le Comité européen à la protection des données (CEPD, qui rassemble les 27 autorités nationales de protection des données de l'UE, dont la Cnil française) a adopté trois décisions concernant Meta, l'empire des réseaux sociaux de Mark Zuckerberg composé de Facebook, Instagram et WhatsApp (entre 2 et 3 milliards d'utilisateurs actifs mensuels pour chacun). Ces décisions n'ont pas été rendues publiques dans le détail, mais elles concernent, d'après la Cnil française, « la licéité et la transparence des traitements à des fins de publicité comportementale » de Facebook et Instagram, et « la licéité du traitement aux fins de l'amélioration des services » de WhatsApp.
Meta accusé de forcer l'acceptation de la publicité ciblée
Traduction : cette décision remet en cause la base légale sur laquelle Meta se fonde pour monétiser via la publicité ses plateformes Facebook, Instagram et WhatsApp. C'est également l'affirmation du Wall Street Journal, qui cite des sources proches du dossier. D'après le média, le groupe des Cnil européennes considère que les pratiques de Meta violent le RGPD, et demande donc une sanction financière conséquente et surtout, des changements rapides. D'après Politico, Meta aurait provisionné 3 milliards d'euros en anticipation des sanctions, même si le groupe estime officiellement que les textes adoptés mardi ne sont « pas la décision finale » et qu'il est « trop tôt pour spéculer ».
On connaîtra début janvier, soit un mois après la publication des décisions, le montant des sanctions. Ce délai s'explique par le fait que la décision finale doit être prononcée par la Cnil irlandaise, car c'est en Irlande que Meta a installé son siège social européen.
Concrètement, le RGPD, entré en application depuis mai 2018, impose à toutes les entreprises qui récoltent les données personnelles des utilisateurs de recueillir au préalable leur consentement éclairé, c'est-à-dire en parfaite connaissance de cause de l'utilisation qui sera faite de leurs données. Ce consentement ne peut être extorqué, et surtout, il ne peut pas être une condition d'accès au service, comme l'a rappelé la Cnil française dans le cas des cookies, ces traceurs qui récoltent les données de navigation des internautes, et que Facebook et Google installent partout sur le Web.
Max Schrems, l'éternelle bête noire des Gafam
D'où les plaintes contre Meta pour « consentement forcé » déposées dès 2018 par l'activiste autrichien Max Schrems via son ONG None of Your Business. Selon l'organisation, Facebook affirme depuis l'entrée en vigueur du RGPD que le traitement des données personnelles de ses utilisateurs, y compris à des fins de publicité, est indispensable au bon fonctionnement de ses services.
« Facebook essaie de priver les utilisateurs de nombreux droits du RGPD en réinterprétant le consentement comme un simple contrat de droit civil », qui ne permet pas de refuser la publicité ciblée, avait accusé Max Schrems. Ce à quoi Meta répond : « Le RGPD autorise plusieurs bases juridiques en vertu desquelles les données peuvent être traitées. Aucune ne doit être considérée comme meilleure qu'une autre ».
Mais les décisions du groupe des Cnil européennes, qui sont individuellement de plus en plus strictes sur l'application du RGPD, semblent davantage pencher du côté des arguments de None of Your Business. D'autant plus que l'ONG autrichienne n'en est pas à son coup d'essai : en 2020, Max Schrems avait déjà réussi à détruire le Privacy Shield - l'accord entre les Etats-Unis et l'UE sur les transferts de données entre les deux continents-, toujours en invoquant le respect du RGPD.
« Des conséquences en cascade potentiellement majeures »
Sans surprise, Max Schrems s'est félicité des décisions de mardi. « C'est un coup dur pour les profits de Meta dans l'UE. Il faut maintenant demander aux gens s'ils veulent que leurs données soient utilisées pour des publicités ou non. Cette décision garantit également des conditions de concurrence équitables avec les autres annonceurs », a-t-il déclaré mardi soir.
Contactée par La Tribune, l'avocate Alexandra Iteanu considère que « si ces décisions sont confirmées, elles feront exploser le business model de Meta et de toutes les entreprises qui abordent les données personnes de la même manière ». « L'UE semble considérer qu'accéder aux réseaux sociaux relève d'un droit essentiel et que par conséquent, Meta ou d'autres plateformes ne peuvent refuser l'accès à ces services à quelqu'un qui ne veut pas de publicité ciblée », analyse-t-elle. « C'est une remise en question profonde du business model de Meta ».
L'impact sur les revenus en Europe de Meta pourrait être énorme. « Sa capacité à utiliser les informations sur les activités de ses usagers sur ses plateformes, pour vendre des publicités personnalisées, [devrait] être lourdement handicapée », décrypte Debra Aho Williamson, analyste d'Insider Intelligence contactée par l'AFP.
D'autant plus que l'Europe est un marché crucial pour Meta, et aussi celui sur lequel Meta subit déjà ses plus fortes pertes en nombre d'utilisateurs et en revenus. Rien qu'en France, en 2022, les recettes publicitaires du groupe californien devraient plonger de plus de 10%, à 2,19 milliards de dollars. L'entreprise y souffre notamment de l'inflation et aussi de changements réglementaires imposés par Apple sur les iPhone, qui limitent déjà la récolte de données personnelles.
Meta prêt à se battre, tous les regards tournés vers la Cnil irlandaise
Si la Cnil irlandaise suit les décisions de mardi, Meta devrait écoper d'amendes pour un total de plusieurs milliards d'euros -le régulateur peut monter jusqu'à 4% de son chiffre d'affaires mondial- et surtout, revoir son fonctionnement en Europe concernant le consentement des utilisateurs de Facebook, Instagram et WhatsApp. Il pourrait encore se passer des mois voire des années, en cas d'appel, avant que ces sanctions soient applicables.
En théorie, la Cnil irlandaise n'a aucune raison de s'affranchir des décisions établies collectivement par les 27 Cnil européennes. Mais l'autorité irlandaise de protection des données est le meilleur allié de Meta en Europe, malgré des condamnations essentiellement symboliques ici et là (amende de 405 millions d'euros en septembre pour des manquements dans le traitement des données de mineurs, et de 265 millions d'euros en novembre pour ne pas avoir protégé suffisamment les données de ses utilisateurs).
Car en octobre 2021, l'autorité irlandaise avait proposé un projet de décision qui allait en fait dans le sens de Meta : elle validait le choix de Facebook sur le consentement en estimant qu'il n'avait pas le choix pour opérer en Europe -Meta menaçait alors de quitter le Vieux Continent- et suggérait une amende de 26 à 36 millions d'euros pour défaut de transparence. Mais une majorité de Cnil européennes, dont la Cnil française, avaient exprimé leur désaccord avec le projet de sanction, jugé beaucoup trop faible et rendant le RGPD totalement inutile selon elles. Elles avaient alors demandé au CEPD, l'organe qui réunit les 27 Cnil européennes, de trancher. Ce qu'il vient de faire en mettant en minorité la position de la Cnil irlandaise... qui est pourtant celle qui doit prononcer la décision finale mais qui est soumise à d'intenses pressions politiques, puisque Meta -ainsi que la plupart des autres Gafam- ont installé leur siège social européen dans son pays et fournissent des milliers d'emplois.
Retraités : la volte-face des favorisés d'Emmanuel Macron (45)
Sujets les + commentés