La Cnil autrichienne juge illégaux les outils de pistage publicitaire de Meta
Le réseau social est accusé de ne pas respecter les règles européennes sur le transfert de données vers les Etats-Unis.
Deux ans et demi après l’annulation du Privacy Shield européen, l’étau se resserre encore un peu plus autour de Meta, la maison mère de Facebook, Instagram et WhatsApp. La Cnil autrichienne (DSB) vient en effet d’estimer que ses outils de pistage publicitaire ne respectaient pas les règles des Vingt-Sept, en raison d’un transfert de données vers les Etats-Unis.
“C’est une décision historique”, se félicite l’association Noyb, de l’activiste autrichien Max Schrems, à l’origine de la plainte étudiée par la DSB. De son côté, le réseau social américain parle d’une décision qui ne “concerne qu’une seule entreprise lors d’un seul jour en 2020”. Et assure que celle-ci n’aura “aucun impact sur la manière dont les entreprises peuvent utiliser nos produits”.
"Clauses contractuelles"
Le jugement de la DSB porte sur le “Meta Pixel”, un tracker que des sites Internet peuvent intégrer sur leurs pages. Celui-ci leur permet de “mesurer l'efficacité des publicités en suivant les actions entreprises par les internautes sur un site web”, selon la société américaine. “Quasiment tous les sites européens l'utilisent”, souligne Noyb.
La DSB estime cependant que son utilisation est illégale, car elle s’accompagne d’un transfert de données vers les Etats-Unis. Or, ces flux ne sont, théoriquement, plus possibles depuis l'annulation du Privacy Shield par la Cour de justice de l’Union européenne. Adopté en 2016, ce mécanisme ne garantissait pas un niveau de protection suffisant, avait alors estimé la plus haute juridiction des Vingt-Sept.
Depuis ce jugement, Meta et les autres géants américains s’appuient sur des “clauses contractuelles” pour poursuivre les transferts de données. La Cour européenne les avait autorisées, à condition toutefois qu’elles présentent un haut niveau de garanties, laissant ainsi planer un doute juridique. L’an passé, la DSB avait déjà estimé que l’outil Google Analytics, qui permet de mesurer les audiences des sites Internet, était illégal. D’autres autorités, dont la Cnil française, avaient suivi.
Pas d'amende
Dans les deux cas de figure, aucune sanction financière n’a été infligée à Meta et à Google. Les régulateurs “semblent réticents à émettre des amendes”, regrette Noyb. Le Règlement général sur la protection des données (RGPD) prévoit pourtant des sanctions pouvant atteindre 4% du chiffre d’affaires mondial.
Au-delà des plaintes déposées par Noyb, Meta fait face à une menace beaucoup plus grande. Il y a deux ans, la Cnil irlandaise (DPC), chargée de superviser la société, avait en effet estimé que les "clauses contractuelles" utilisées par la société ne pouvaient pas, en pratique, être utilisées pour les transferts de données entre l’Europe et les États-Unis.
Un verdict final est attendu en mai, soit avant un éventuel accord transatlantique sur le successeur du Privacy Shield, espéré pour cet été par Bruxelles. Meta a déjà prévenu qu’une décision défavorable aurait un impact significatif sur son activité, avançant même une possible fermeture de ses services en Europe.
