Depuis quatre ans, Meta se bat contre les régulateurs de l’Union européenne sur la manière dont ses applications, Facebook et Instagram, collectent les données des utilisateurs pour personnaliser les publicités. La question clé pour les régulateurs était de savoir si la soi-disant base juridique contractuelle de Meta – qui intègre l’accord de consentement de l’utilisateur dans les conditions de service de ses applications – obligeait ses utilisateurs à choisir entre consentir à la collecte de données ou perdre tout accès aux plateformes sociales.

Hier, le principal organisme de surveillance de la vie privée de l’UE, la Commission irlandaise de protection des données (DPC), a finalement pris deux décisions, décidant que Meta avait illégalement forcé le consentement des utilisateurs de Facebook et d’Instagram. Désormais, Meta doit payer une amende de 414 millions de dollars et mettre à jour ses applications au cours des trois prochains mois pour se conformer au règlement général sur la protection des données (RGPD) de l’UE.

Ars n’a pas pu joindre immédiatement DPC pour un commentaire.

DPC a gardé la substance des décisions confidentielles – ne partageant même pas ses décisions avec les plaignants – mais dans un communiqué a déclaré que Meta « n’a pas le droit de s’appuyer sur la base juridique du » contrat « en rapport avec la diffusion de publicité comportementale dans le cadre de son Services Facebook et Instagram. »

Meta prévoit de faire appel à la fois du « fond de la décision et des amendes », en fournissant une déclaration indiquant que la société est « fortement » en désaccord avec la décision. En raison d’un « manque de clarté réglementaire », Meta affirme que la base juridique contractuelle sur laquelle elle s’appuie pour obtenir le consentement des utilisateurs depuis 2018 avait déjà été jugée acceptable par les régulateurs de l’UE. Actuellement, Meta affirme que la pertinence de cette base juridique dans le cadre du GDPR est toujours « débattue par les plus hautes juridictions de l’UE ». Parce que la question semble toujours indécise, Meta dit qu’il pense qu’un appel prouvera que ses applications sont « entièrement » conformes au RGPD, alléguant qu’aucune mise à jour de l’application n’est nécessaire.

Meta prévoit d’éviter de demander le consentement de l’utilisateur

Peu de temps après l’annonce des décisions du DPC, Meta a affirmé qu’il y avait eu « des spéculations inexactes et des informations erronées sur la signification de ces décisions ».

Certains ont émis l’hypothèse que la décision signifiait que Facebook et Instagram devraient commencer à demander aux utilisateurs de répondre « oui ou non » pour donner leur consentement à la collecte de données utilisées pour les publicités personnalisées. L’histoire récente suggère que cette décision serait apparemment peu attrayante pour Meta. Lorsqu’Apple est passé à cette base juridique de consentement pour la collecte de données, Wired UK a signalé que cette décision avait « vissé » Facebook en déclenchant « un effondrement irréversible » de la capacité de Facebook à collecter les données des utilisateurs.

Lorsqu’on lui a demandé si Meta envisageait une base juridique de consentement, un porte-parole de Meta a réitéré la déclaration de la société à Ars, affirmant que les décisions du DPC « n’imposent pas l’utilisation du consentement ». Au lieu de cela, Meta « évaluerait une Crumpa d’options qui nous permettront pour continuer à offrir un service entièrement personnalisé à nos utilisateurs », cherchant apparemment des moyens de le faire sans demander le consentement de l’utilisateur.