Sanction contre LinkedIn : "La bataille est la validité du consentement", Ariane Mole (Bird & Bird)
L'autorité irlandaise de protection des données a infligé une amende de 310 millions d'euros à LinkedIn, propriété de Microsoft, pour la violation du RGPD. Cette sanction s'inscrit dans une plainte collective portée par la Quadrature du Net contre les Gafam. Pour analyser cette nouvelle décision, le Club Data Protection a échangé avec Ariane Mole, avocat associée au sein du cabinet Bird & Bird.
Après Google en France puis Amazon au Luxembourg, c'est LinkedIn qui est condamné par la Data Protection Commission (DPC) au paiement d'une amende de 310 millions d'euros pour avoir violé plusieurs dispositions du Règlement général sur la protection des données (RGPD). Il faudra, dans un premier temps, se contenter d'un communiqué de presse, publié le 24 octobre, avant d'accéder à l'intégralité de la décision prise par l'autorité irlandaise de protection des données.
Cette procédure est à l'initiative de la Quadrature du Net, une association française qui défend les libertés dans le numérique, qui avait déposé une plainte collective en mai 2018, alors que le RGPD venait d'entrer en application, contre Facebook, Google, Apple, Amazon et LinkedIn devant la Commission nationale de l'informatique et des libertés (Cnil). En vertu du principe du guichet unique, c'est l'autorité irlandaise qui a tranché ce litige étant donné que le siège européen du réseau social professionnel est situé à Dublin.
Le consentement comme seule base légale valide
Comme l'explique la DPC, "l'enquête a examiné le traitement par LinkedIn des données personnelles à des fins d'analyse comportementale et de publicité ciblée". Voici sa conclusion : "LinkedIn ne peut pas se fonder sur une autre base légale que le consentement de ses utilisateurs pour faire du profilage et de la publicité ciblée, compte tenu de l'ampleur de ce profilage et ciblage", résume Ariane Mole, avocate associée au sein du cabinet Bird & Bird, spécialisée dans le droit de la protection des données, interrogée par L'Usine Digitale.
Pour rappel, pour pouvoir être mis en oeuvre, tout traitement de données personnelles doit se fonder sur l'une des bases légales prévue par le RGPD. Il en existe six : le consentement, le contrat, l'obligation légale, la mission d'intérêt public, l'intérêt légitime et la sauvegarde des intérêts vitaux. Or, dans le cas de LinkedIn, le consentement n'est pas recueilli selon les critères du RGPD. Quatre critères doivent être cumulativement remplis : le consentement doit être libre, spécifique, éclairé et univoque. C'est ainsi que l'entreprise propriété de Microsoft n'a notamment pas fourni "d'information suffisamment détaillée", ajoute l'avocate.
Un mouvement plus large
LinkedIn ne peut ainsi pas se reposer sur "l'intérêt légitime de gagner de l'argent", indique l'experte qui rappelle que la majorité des grandes entreprises technologiques présentent un business model reposant sur la publicité. Rappelons à ce sujet que Meta a également été épinglée par la justice européenne sur ce sujet. La Cour de justice de l'Union européenne (CJUE) ayant décidé en juillet 2023 que "la personnalisation de la publicité par laquelle est financé le réseau social en ligne Facebook ne saurait justifier, en tant qu'intérêt légitime poursuivi par Meta Platforms Ireland, le traitement de données en cause, en l'absence du consentement de la personne concernée".
"Désormais, nous le savons : les décisions des autorités de protection des données vont porter sur le consentement, note Ariane Mole. La bataille est la validité du consentement." Au-delà de la jurisprudence européenne, elle mentionne le Digital Services Act (DSA) et le Digital Markets Act (DMA) qui accordent "une place prépondérante" au consentement. C'est ainsi que l'article 5 du DMA interdit aux entreprises qualifiées de "gatekeepers" (contrôleurs d'accès) de traiter, aux fins de fourniture de services de publicité en ligne, les données personnelles des utilisateurs finaux qui recourent à des services de tiers utilisant des services de plateforme essentiels fournis par elles, sans avoir recueilli le consentement de ces derniers.
Obliger les plateformes à offrir un service gratuit ?
Or, les utilisateurs refusant que leurs données soient traitées à des fins de publicité ciblée doivent tout de même pouvoir accéder au service. Ce qui signifie que les plateformes devraient offrir leur service gratuitement. "Etant donné que leur business repose sur la publicité ciblée, si elles ne peuvent plus recueillir des données et doivent quand même fournir leur service, mais gratuitement, leur modèle économique risque de ne plus être viable ", indique l'avocate.
Pour contourner cette problématique, Meta avait décidé de proposer un abonnement payant offrant l'accès à Facebook et Instagram sans aucune publicité. Ce qui a provoqué un vent de contestations parmi les associations de protection des données personnelles : l'association autrichienne Noyb puis le Bureau européen des unions de consommateurs (BEUC) avaient déposé des plaintes estimant que le choix laissé par l'entreprise aux utilisateurs de ses services était trompeur car l'option "gratuite" ne l'était pas puisqu'elle collectait des données à des fins publicitaires. Face au risque d'interdiction, l'entreprise américaine a envoyé en mars dernier une proposition à la Commission européenne : baisser le montant de son abonnement à 5,99 euros plutôt que 9,99 euros par mois pour un compte unique.
Bruxelles avait finalement indiqué à Meta que son modèle "Pay or consent" n'était pas conforme au Digital Markets Act. Dans son avis préliminaire, elle écrivait que "ce choix binaire oblige les consommateurs à consentir à la combinaison de leurs données personnelles et ne leur fournit pas une version moins personnalisée, mais équivalente des réseaux sociaux de Meta". La Commission conclura son enquête dans un délai de 12 mois à compter de l'ouverture de la procédure, le 25 mars 2024.
Revenir à plus de simplicité ?
Autre point : il semble difficile, d'après l'avocate, de respecter l'ensemble des conditions liées au recueil du consentement avec des services de plus en plus technologiques. "Pour être complète, l'information à délivrer fait forcément des pages et des pages. Ne faudrait-il pas revenir à plus de simplicité pour que les personnes comprennent mieux ?", se demande-t-elle laissant la question ouverte.
SUR LE MÊME SUJET
Sanction contre LinkedIn : "La bataille est la validité du consentement", Ariane Mole (Bird & Bird)
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
