L'UFC-Que Choisir saisit la Cnil concernant le système d'abonnement payant à Facebook et Instagram
L'UFC-Que Choisir multiplie les actions contre le système d'abonnement payant à Facebook et Instagram proposé par Meta depuis novembre 2023. Après une première salve de plaintes, elle a cette fois-ci saisi la Cnil invoquant de multiples violations du RGPD, dont l'absence de consentement valable et de limitation dans la collecte des données personnelles.
L'UFC-Que Choisir, l'association de protection et de défense des consommateurs, a annoncé ce jeudi 29 février avoir déposé une plainte devant la Commission nationale de l'informatique et des libertés (Cnil) contre Meta pour son système d'abonnement payant à ses deux réseaux sociaux, Facebook et Instagram, lancé en novembre dernier pour les utilisateurs européens. Elle lui reproche plusieurs violations du Règlement général sur la protection des données (RGPD).
Une campagne procédurale européenne
Cette nouvelle procédure s'inscrit dans une campagne plus large menée par huit groupes de consommateurs, dont l'association française, membre du Bureau européen des unions de consommateurs (BEUC). Les associations Forbrugerradet Tænk (Danemark), CECU (Espagne), EKPIZO (Grèce), Forbrukerradet (Norvège), Spolocnost ochrany spotrebitelov (S.O.S.) Poprad (Slovaquie), et Zveza Potrosnikov Slovenije (Slovénie), dTest (Tchéquie) ainsi que le Consumentenbond (Pays-Bas) ont également saisi leur autorité nationale de protection des données.
"Les modèles commerciaux basés sur la surveillance posent toutes sortes de problèmes au regard du RGPD et il est temps que les autorités chargées de la protection des données mettent fin au traitement déloyal des données par Meta et à la violation des droits fondamentaux des personnes", a réagi Ursula Pachl, directrice générale adjointe du BEUC.
Le consentement non-conforme au RGPD
Les associations de consommateurs invoquent deux violations du RGPD. La première concerne le consentement des utilisateurs. Elles expliquent que Meta "conditionne le refus du consentement à la souscription d'un abonnement payant. Autrement dit, soit le consentement consent, soit, à défaut, il paye", d'où le nom donné à ce modèle par ses opposants "Pay or Okay". Or, rappellent-elles, en vertu du RGPD, le consentement doit respecter quatre critères cumulatifs : être libre, spécifique, éclairé et univoque. Ce qui n'est pas le cas avec le système de l'entreprise américaine : "les consommateurs ne sont pas en mesure d'évaluer l'ampleur ni les conséquences du traitement des données opérées par Meta, ce qui rend tout consentement valable totalement impossible, illusoire et inefficace".
Les requérantes appuient sur un point important. Les critères d'un consentement légal ne sont pas respectés "et ce quelle que soit la décision des régulateurs concernant le droit de Meta à pouvoir exiger un paiement". Elles semblent faire référence aux discussions en cours au niveau du European Data Protection Board (EDPB) sur la légalité du modèle de Meta au regard de la réglementation européenne. Un groupe de 28 organisations non gouvernementales (ONG) et d'entités de protection des données – tel que Noyb présidée par Max Schrems ou l'Irish Council for Civil Liberties – lui avait adressé une lettre l'exhortant à "rendre une décision (...) en adéquation avec le droit fondamental à la protection des données".
Une violation du principe de minimisation
L'UFC-Que Choisir estime aussi que Meta ne limite pas la collecte et le traitement des données personnelles des utilisateurs de ses services "au strict nécessaire" (principe de minimisation). "Au contraire (...) l'entreprise aspire simplement toutes les données possibles et imaginables", déplore l'association française. Elle ajoute que l'entreprise utilise "un langage volontairement ambigu et en ne révélant que la partie émergée de l'iceberg de ses pratiques de 'pistage'".
Cette nouvelle campagne d'action s'ajoute à une première série de plaintes déposée le 30 novembre 2023 devant la Commission européenne et le réseau des autorités de protection des consommateurs par le BEUC et 19 de ses membres, dont l'UFC-Que Choisir. Ils accusaient Meta de se livrer à "des pratiques commerciales déloyales" dénonçant notamment "une pratique agressive" lorsqu'il bloque partiellement l'utilisation de Facebook et Instagram jusqu'à l'utilisateur fasse un choix entre payer un abonnement ou rester dans le statut quo.
Aussi, les requérants arguaient que les utilisateurs étaient induits en erreur car le choix proposé n'est en fait pas un choix : l'option gratuite ne l'est pas puisque les données sont collectées à des fins publicitaires. Les internautes choisissant de payer sont également induits en erreur puisqu'ils pensent à tort que leurs données personnelles échappent à toute collecte et utilisation. Or, c'est faux puisque Meta pourra les utiliser à d'autres fins, autre que la publicité ciblée. Les actions des associations européennes seraient en train de porter les premiers fruits, d'après l'UFC-Que Choisir qui annonce que "les régulateurs" ont "lancé une enquête formelle". L'Usine Digitale a sollicité Bruxelles pour avoir davantage de détails sur l'ouverture de cette procédure qui, pour l'instant, n'a fait l'objet d'aucune communication.
Meta jongle entre les bases légales
La notion de "consentement" est désormais au coeur du modèle de Facebook et Instagram. C'est en réponse à deux décisions de justice que Meta a dû changer une nouvelle fois sa base légale pour justifier la collecte de données personnelles. En juillet 2023, la Cour de justice de l'Union européenne a conclu que "la personnalisation de la publicité par laquelle est financé le réseau social en ligne Facebook ne saurait justifier, en tant qu'intérêt légitime poursuivi par Meta Platforms Ireland, le traitement de données en cause, en l’absence du consentement de la personne concernée".
Le même mois, la Datatilsynet, l'autorité néerlandaise de protection des données, lui a interdit d'effectuer de la publicité ciblée à partir du 4 août 2023 jusqu'au 3 novembre 2023. Les pratiques n'ayant pas été modifiées entre temps, l'autorité a saisi le Comité européen à la protection des données pour qu'il prenne une décision contraignante. Son appel a été entendu : le Comité a sommé la Data Protection Commission (DPC), la Cnil irlandaise, d'interdire "le traitement des données personnelles à des fins de publicité comportementale sur les bases juridique du contrat et de l'intérêt légitime".
Et lance son abonnement
Pour se conformer à cette interprétation, Meta a choisi le consentement comme base légale et dans le même temps a lancé une offre payante sans collecte de données personnelles à des fins publicitaires. Les abonnements vont de 9,99 euros jusqu'à 12,99 euros par mois. Il faut bien préciser que le modèle payant permet toujours à Meta de collecter des données à d'autres fins que des fins publicitaires (promotion de la sûreté, l'intégrité et la sécurité/ Fourniture d'analyse et de services professionnels/Faure de la recherche).
Il reste à voir ce que décideront les autorités saisies de cette question. Sans que cela ne préjuge de sa position, la Cnil avait estimé à propos des bannières de cookies que "les contreparties monétaires" pouvaient "constituer une alternative au consentement". Elle posait une condition : les contreparties doivent être proposées à "un tarif raisonnable". On peut donc s'imaginer que l'autorité française valide l'approche de Meta tout en exigeant la réduction du montant des abonnements. Sur ce point, l'association autrichienne Noyb avait estimé dans sa plainte que le prix fixé poussait les personnes à choisir l'option gratuite avec collecte de données personnelles.
De nouvelles règles en matière de publicité ciblée
Notons également que les grandes entreprises technologiques, dont Meta fait partie, sont désormais soumises au Digital Services Act (DSA) et au Digital Markets Act (DMA). Ces deux textes imposent de nouvelles règles en matière de publicité ciblée : les très grandes plateformes n'ont plus le droit d'effectuer de la publicité ciblée sur des catégories particulières de données personnelles (au sens de l'article 9 du RGPD). Il s'agit des données relatives à l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale ainsi que les données génétiques, biométriques, celles concernant la santé, la vie sexuelle ou l'orientation sexuelle.
SUR LE MÊME SUJET
L'UFC-Que Choisir saisit la Cnil concernant le système d'abonnement payant à Facebook et Instagram
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
