Protection des données : exclusion du contrat comme base de traitement licite aux fins de diffusion de publicités comportementales par les services numériques de réseaux sociaux

Les enquêtes concernaient deux plaintes relatives aux services Facebook et Instagram, déposées le 25 mai 2018, date à laquelle le Règlement général sur la protection des données (RGPD) est entré en application, l’une par une personne concernée autrichienne (en rapport avec Facebook) ; l’autre par une personne concernée belge (en rapport avec Instagram)².

À l’occasion de l’entrée en application du RGPD, Meta Ireland ne s’est plus appuyé sur le consentement des utilisateurs au traitement de leurs données personnelles dans le cadre de la fourniture des services de Facebook et d’Instagram, en ce compris la publicité comportementale, mais a souhaité désormais s’appuyer sur la base juridique du contrat, au sens de l’article 6.1.b) du RGPD, pour la plupart de ses opérations de traitement.

Les utilisateurs des services de Facebook et d’Instagram, s’ils souhaitaient continuer à avoir accès à ces services, furent invités à cliquer sur « J’accepte » pour indiquer leur acceptation des conditions de service mises à jour. Ceux des utilisateurs qui refusaient d’accepter perdaient l’accès auxdits services numériques.

Meta Ireland considérait qu’à l’occasion de l’acceptation des conditions de service mises à jour, l’utilisateur concluait un contrat avec Meta Ireland et que le traitement des données des utilisateurs dans le cadre de la fourniture de ses services Facebook et Instagram était nécessaire à l’exécution de ce contrat, pour inclure la fourniture de services personnalisés et de publicité comportementale, de sorte que ces opérations de traitement étaient licites par référence à l’article 6.1.b) du RGPD.

Les plaignants ont soutenu, à l’inverse, que Meta Ireland cherchait en réalité toujours à s’appuyer sur le consentement pour fournir une base licite à son traitement des données des utilisateurs. Ils ont fait valoir qu’en subordonnant l’accessibilité de ses services à l’acceptation par les utilisateurs des conditions de service mises à jour, Meta Ireland les « forçait » en fait à consentir au traitement de leurs données.

Les décisions finales de la Commission de protection des données irlandaise du 31 décembre 2022 intègrent l’appréciation juridique exprimée par le Comité européen de la protection des données (CEPD) dans ses décisions contraignantes du 5 décembre 2022, adoptées sur la base de l’article 65(1)(a) du RGPD, après que la Commission de protection des données irlandaise, en tant qu’autorité chef de file, a déclenché deux procédures de résolution des litiges concernant les objections soulevées par les autorités de protection des données de dix États membres. Ces autorités ont notamment émis des objections concernant la base juridique du traitement (RGPD, art. 6), les principes de protection des données (RGPD, art. 5) et le recours à des mesures correctives, y compris des amendes.

Tranchant les divergences, le CEPD a décidé que Meta Ireland se fondait de manière inappropriée sur le contrat comme base juridique pour traiter les données à caractère personnel dans le contexte des conditions d’utilisation de Facebook et d’Instagram à des fins de publicité comportementale, car il ne s’agissait pas d’un élément central des services. Le CEPD a estimé dans les deux cas que Meta ne disposait pas d’une base juridique pour ce traitement et qu’elle avait donc traité ces données de manière illégale. En conséquence, le CEPD a demandé à l’autorité de protection des données irlandaise de modifier les conclusions de ses projets de décision et d’y inclure une violation de l’article 6.1 du RGPD.

Le CEPD a demandé à la Commission de protection des données irlandaise d’inclure, dans ses décisions finales, une injonction à Meta Ireland de mettre en conformité avec l’article 6.1 du RGPD son traitement des données à caractère personnel à des fins de publicité comportementale dans le cadre des services Facebook et Instagram dans un délai de trois mois.

En outre, le CEPD a chargé la Commission de protection des données irlandaise d’inclure dans les deux décisions finales un constat de violation du principe d’équité et d’adopter les mesures correctives appropriées. Le CEPD a noté que les violations des obligations de transparence ont eu un impact sur les attentes raisonnables des utilisateurs, que Meta Ireland a présenté ses services aux utilisateurs de manière trompeuse et que la relation entre Meta et les utilisateurs était déséquilibrée.

En ce qui concerne les amendes administratives, le CEPD a enjoint à la Commission de protection des données irlandaise d’imposer une amende administrative pour les infractions supplémentaires à l’article 6, paragraphe 1, du RGPD (absence de base juridique pour le traitement des données à caractère personnel) et d’infliger des amendes beaucoup plus élevées pour les infractions à la transparence identifiées, car il a estimé que les amendes proposées ne remplissaient pas l’exigence d’être efficaces, proportionnées et dissuasives. Cela a conduit la Commission de la protection des données irlandaise à augmenter fortement les amendes dans ses décisions finales (de 36 et 23 millions d’euros pour les projets de décisions concernant Facebook et Instagram, à 210 et 180 millions d’euros dans les décisions finales).

Les décisions de la DPC irlandaise et du CEPD, par les divergences d’analyse sur de nombreux points qu’elles mettent en lumière³, et par leur inscription dans un mouvement plus général de précision de la qualification du traitement des données aux fins de publicité comportementale⁴, sont d’une grande richesse. Dans les développements qui suivent, nous nous concentrerons sur la question de la base légitime de traitement des données aux fins de diffusion de publicités comportementales aux usagers de services numériques de réseaux sociaux. Il ressort, en effet, des décisions de la Commission de protection des données irlandaise, amendées à la suite de celles prises par le Comité européen à la protection des données, une définition, par exclusion de la publicité comportementale, du contenu des contrats de fourniture de services numériques proposés par les réseaux sociaux, qui traduit une belle cohérence avec les nouvelles solutions retenues au sein des instruments européens récents réglementant les services numériques.

Précision du contenu contractuel des contrats de fourniture de services numériques proposés par les réseaux sociaux

L’article 6.1.b) du RGPD ne peut être une base légitime de traitement pour la publicité comportementale

La divergence centrale entre la Commission de protection des données irlandaise et les autorités de contrôle de plusieurs autres États membres portait sur le point de savoir si le traitement des données des usagers des services numériques Facebook et Instagram aux fins de diffusion des publicités comportementales était rendu licite par l’acceptation sollicitée auprès de ces usagers par Meta Ireland, à compter du 25 mai 2018, des conditions générales d’utilisation et de la police de confidentialité des services Facebook et Instagram.

Ce traitement ne pouvait, en effet, être licite que s’il était démontré, au sens de l’article 6.1.b) du RGPD, que « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ».

Sur le fondement de l’article 65 du RGPD, le CEPD a tranché la divergence, le 5 décembre 2022, en clarifiant « le fait que Meta a traité illégalement des données à caractère personnel à des fins de publicité comportementale. Cette publicité n’est pas nécessaire à l’exécution d’un prétendu contrat avec les utilisateurs de Facebook et d’Instagram. Ces décisions peuvent également avoir un impact important sur d’autres plateformes dont les publicités comportementales sont au centre de leur modèle économique »⁵.

Cette solution du CEPD, à laquelle la DPC irlandaise s’est conformée, est en cohérence avec l’ensemble du corpus d’avis et de lignes directrices du CEPD et de l’ancien groupe de travail de l’article 29⁶. En particulier, dans ses lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées, le CEPD avait proposé le guide suivant afin de procéder à l’appréciation de la question de savoir si l’article 6, paragraphe 1, point b), est applicable : « Quelle est la nature du service fourni à la personne concernée ? Quelles sont ses caractéristiques distinctives ? Quelle est la justification exacte du contrat (c’est-à-dire sa substance et son objet fondamental) ? Quels sont les éléments essentiels du contrat ?...