Les principales décisions de l’UE en matière de confidentialité contre la base juridique de Meta pour les publicités soulèvent de nouvelles plaintes

Les observateurs de la vie privée désireux d’approfondir le raisonnement réglementaire qui sous-tend deux décisions majeures contre Meta plus tôt ce mois-ci – qui ont invalidé l’affirmation de nécessité contractuelle de Facebook et Instagram en tant que base juridique valide pour diffuser de la publicité comportementale sur les utilisateurs de l’Union européenne – peuvent désormais passer au crible le détail après que le plaignant, le groupe de défense des droits à la vie privée noyb, a publié les documents de décision en ligne.

Vous pouvez trouver la décision Facebook de 188 pages ici et la décision Instagram de 196 pages ici – qui comportent toutes deux des suppressions effectuées par Meta car il a été autorisé à supprimer des informations commercialement sensibles, de sorte que certains détails juteux manquent.

(Par exemple, un paragraphe du document Facebook où l’entreprise fournit une estimation du temps qu’il lui faudra pour appliquer les ordonnances de conformité a été noirci, ainsi qu’une autre phrase de cette section dans laquelle elle détaille le travail impliqué. Nous ne peut que spéculer si des mots ont réellement été couverts ici – ou juste une ligne d’emojis hurlants.)

Le principal régulateur de la protection des données de Meta, la Commission irlandaise de protection des données (DPC), a rendu les décisions finales, mais seulement après plus d’un an de différend avec les APD de l’UE qui n’étaient pas d’accord avec son projet de décision (qui ne s’est pas opposé à ce que Meta invoque la nécessité contractuelle de microtarget les publicités); et, enfin, après avoir incorporé une décision contraignante du Comité européen de la protection des données (EDPB) — qui a réglé le différend en forçant le DPC à rejeter l’allégation de nécessité contractuelle de Meta.

Le CEPD a également demandé à Meta d’augmenter considérablement le montant de la sanction financière infligée à Meta pour violation du règlement général sur la protection des données (RGPD) de l’UE.

Ainsi, bien que le nom et l’image de marque du DPC irlandais figurent sur ces documents, ils sont le produit d’un processus de corégulation intégré au RGPD, via un mécanisme de coopération pour traiter les cas transfrontaliers.

Les détails du document alimentent déjà de nouvelles attaques contre le DPC sur son approche très critiquée de l’application du RGPD – avec noyb se demandant pourquoi le régulateur irlandais a modifié la décision (contraignante) de l’EDPB – qui, selon lui, a été demandée àpériode de trois mois pour se conformer à l’ordonnance à partir du moment où son ordonnance a été signifiée (c’est-à-dire quelque temps en décembre) – jusqu’à la signification de la décision du DPC (quelque temps en janvier). « Cette dérogation de la DPC à la décision de l’EDPB semble illégale », fait valoir noyb.

Il conteste également le fait que le DPC restreint apparemment la portée de la décision du EDPB – pour la limiter à traitement à des fins publicitaires uniquement.

« Il semble que d’autres aspects de la plainte n’aient pas été traités par la DPC, ce qui en soi peut être illégal », suggère-t-il.

Noyb s’inquiète également du niveau de sanction financière imposé par le régulateur irlandais – que le DPC a été tenu par le CEPD de réévaluer et d’augmenter considérablement conformément à sa décision contraignante selon laquelle il y avait violation de la base juridique (et du principe d’équité du RGPD ), pas seulement de transparence comme le CPD l’avait initialement décidé.

Le groupe de protection de la vie privée souligne que le régulateur irlandais a choisi d’appliquer la plus petite sanction en ce qui concerne « le traitement illégal réel des données personnelles de millions d’utilisateurs de l’UE » – seulement 60 millions d’euros dans le cas de Facebook et 50 millions d’euros dans le cas d’Instagram, qui représente une infime fraction des revenus que Meta a pu générer au cours de cette période tout en traitant illégalement les données des personnes.

Noyb poursuit en avertissant que les décisions du DPC ne mettront peut-être pas fin à une affaire qui a déjà duré plus de 4,5 ans depuis que les plaintes initiales de «consentement forcé» ont été déposées en mai 2018 – car il soutient que les conclusions du régulateur ne semblent pas entièrement traiter ses plaintes car les décisions se concentrent sur les publicités personnalisées et ne couvrent pas des questions telles que l’utilisation de données personnelles pour améliorer la plate-forme Facebook ou pour un contenu personnalisé (qui nécessitent également une base juridique valide en vertu du droit de l’UE).

Un autre problème mis en évidence par le noyb est le refus du DPC de mener des enquêtes supplémentaires demandées par l’EDPB – ce que le DPC conteste en tant que dépassement juridictionnel et cherche à annuler, comme nous l’avons signalé plus tôt ce mois-ci.

Il signale également un autre conflit qui, selon lui, pourrait le conduire à faire appel de la décision – soulignant que en vertu de la loi autrichienne ou allemande (alias, la loi qui s’applique au noyb), la plainte définit la portée de la procédure – alors qu’elle indique que le DPC estime qu’en vertu de la loi irlandaise, il peut limiter la portée d’une plainte, ajoutant: «nuit peut avoir à faire appel de la décision pour ces motifs.

Le DPC a été contacté pour commentaires.