Panorama rapide de l’actualité « technologies de l’information » des semaines des 12, 19, 26 décembre 2022 et 2 janvier 2023

Protection des données

Condamnation de Meta par la DPC, l’autorité irlandaise de protection des données contrainte par ses pairs !

• À la suite de plaintes déposées le jour de l’entrée en vigueur du RGPD, le 25 mai 2018, par l’association de Max Schrems, Noyb, l’autorité irlandaise a (finalement !) condamné Meta, la maison mère de Facebook et Instagram, à une amende de 390 millions d’euros.
  L’essentiel des opérations de traitement effectuées par Meta est fondé sur le contrat conclu avec les utilisateurs des plateformes (les conditions générales d’utilisation), y compris l’une des activités phares du géant : la publicité comportementale. Aussi, il est impossible pour un utilisateur souhaitant accéder aux services Facebook et Instagram sans pour autant faire l’objet de publicité ciblée de dissocier son accord : le refus d’accepter les CGU l’empêche d’accéder aux plateformes, l’acceptation des CGU le contraint à accepter la publicité comportementale associée aux services auxquels il souhaite accéder.
  Selon Meta, Facebook et Instagram fournissent des services personnalisés dont font partie la publicité personnalisée ou comportementale. Ce système est au cœur du modèle accepté par les utilisateurs. L’autorité irlandaise retient d’abord que Meta a manqué à ses obligations en matière de transparence, mais le grief tenant au caractère forcé du consentement ne peut subsister puisque le traitement n’est pas fondé, et n’est pas tenu de l’être, sur le consentement des utilisateurs.
  Le CEPD, intervenant dans la procédure au titre de la procédure de coopération renforcée en raison de l’absence de consensus face aux oppositions de certaines autorités considérant trop clémente la solution proposée par l’autorité Irlandaise, rejette l’utilisation du contrat comme base légale du traitement aux fins de publicité comportementale.
  Intégrant ces instructions contraignantes, l’autorité irlandaise condamne finalement Meta au versement de 390 millions d’euros, et la somme de se mettre en conformité dans un délai de 3 mois. Le consentement spécifique et distinct des membres des plateformes à la publicité personnalisée devrait donc être demandé à l’avenir.
  Cette sanction intervient au terme de la mise en œuvre de la procédure de coopération renforcée entre les autorités de régulation prévue à l’article 60 du RGPD démontrant toute l’utilité et l’opportunité d’un tel mécanisme notamment face à des méthodes de forum shopping mise en œuvre par ces acteurs de l’Internet qui vont s’installer là où l’autorité chef de file pourrait être plus frileuse dans la condamnation prononcée. Le CEPD a en outre demander à l’autorité irlandaise de procéder à une nouvelle enquête portant sur l’ensemble des opérations de traitement des données de Facebook et d’Instagram, ce notamment afin d’examiner les catégories particulières de données à caractère personnel qui peuvent ou non être traitées dans le cadre de ces opérations.
  L’autorité irlandaise a toutefois indiqué qu’elle envisageait de former un recours devant la Cour de justice de l’Union européenne au motif de l’illégalité de ces instructions contraignantes du Comité. Il est à noter que, de manière surprenante, la décision remise à Meta n’a pas été transmise à la partie adverse (Noyb, une association de défense des libertés en ligne), au motif que Meta devait, au préalable, expurger tout ce qu’ils trouvent « sensible » dans la décision. La décision n’est donc pas encore à ce jour publique.

Condamnation d’Apple par la CNIL le 22 décembre 2022

• La CNIL a sanctionné Apple à hauteur de 8 millions d’euros pour ne pas avoir recueilli le consentement des utilisateurs français d’iPhone (dans sa version antérieure iOS 14.6) avant de mettre en place des identifiants, utilisés à des fins publicitaires, sur leurs téléphones.
  La CNIL a été saisie par l’association France Digitale d’une plainte concernant les traitements mis en œuvre par Apple au travers de ses systèmes d’exploitation iOS et MacOs. L’association reprochait notamment que le paramètre de confidentialité « Publicité personnalisée », présent dans les réglages des iPhone, soit activé par défaut. Ce paramètre activé par défaut empêchait en effet de recueillir valablement le consentement préalable des utilisateurs aux...