Les problèmes de confidentialité des données de Meta en Europe se poursuivent, la Norvège ayant annoncé l’interdiction immédiate de la « publicité comportementale » sur Facebook et Instagram. Jusqu’à ce que Meta fasse des changements importants, l’entreprise sera condamnée à une amende de 100 000 dollars par jour pour les violations de la vie privée des utilisateurs norvégiens, a déclaré hier l’autorité norvégienne de protection des données, Datatilsynet.
« Meta suit en détail l’activité des utilisateurs de ses plateformes Facebook et Instagram », indique le communiqué de presse de Datatilsynet. « Les utilisateurs sont profilés en fonction de l’endroit où ils se trouvent, du type de contenu auquel ils s’intéressent et de ce qu’ils publient, entre autres. Ces profils personnels sont utilisés à des fins de marketing, ce que l’on appelle la publicité comportementale. L’autorité norvégienne de protection des données considère que la pratique de Meta est illégale et impose donc une interdiction temporaire de la publicité comportementale sur Facebook et Instagram. »
La Norvège n’a pas interdit les applications. L’interdiction temporaire pourrait durer trois mois, à moins que Meta ne prenne des mesures correctives plus tôt.
Mais il est possible que l’interdiction soit également prolongée par le Comité européen de la protection des données (CEPD). Tobias Judin, responsable de la section internationale de Datatilsynet, a déclaré à Ars que l’autorité norvégienne de protection des données n’avait pas encore soumis sa décision à l’EDPB, une démarche qui, selon Reuters, « pourrait rendre l’amende permanente et élargir le champ d’application territorial de la décision en Europe ». Au lieu de cela, Datatilsynet donne à Meta le temps de répondre « avant de prendre d’autres mesures ».
« Une fois que Meta aura fait part de ses commentaires, nous avons l’intention de porter l’affaire devant le Conseil européen de la protection des données », a déclaré M. Judin à Ars.
Si l’affaire en arrive là et que l’EDPB donne raison à Datatilsynet, cela « accentuerait la pression sur Meta », a déclaré M. Judin à Reuters.
La décision de Datatilsynet est intervenue après que la Commission irlandaise de protection des données a infligé à Meta une amende de plus de 500 millions de dollars, à la suite de deux enquêtes similaires sur les violations par Facebook et Instagram du Règlement général sur la protection des données (RGPD) de l’UE. Plus récemment, la plus haute juridiction de l’UE a statué le 4 juillet que la publicité comportementale de Meta n’était pas conforme au GDPR.
À propos de cette dernière affaire, M. Judin a déclaré à Ars : « en substance, le tribunal a estimé que les pratiques de Meta étaient très problématiques au regard de la législation sur la protection des données ».
La Norvège ne fait pas partie de l’Union européenne, mais elle appartient à l’Espace économique européen, ce qui signifie qu’elle fait partie du marché unique de l’UE et qu’elle est également liée par le GDPR. Le communiqué de presse de Datatilsynet indique que la Norvège doit prendre des mesures immédiates pour protéger les utilisateurs norvégiens de Facebook et d’Instagram de la « surveillance commerciale invasive à des fins de marketing » qui, selon Judin, « est l’un des plus grands risques pour la protection des données sur Internet aujourd’hui. »
« Il est tellement clair que c’est illégal que nous devons intervenir maintenant et immédiatement », a déclaré Judin à Reuters. « Nous ne pouvons plus attendre.
Le communiqué de presse de Datatilsynet indique que « 82 % de la population norvégienne adulte possède un compte Facebook et 65 % un compte Instagram. » Meta peut continuer à suivre les comportements de ces utilisateurs, a déclaré Datatilsynet, mais l’entreprise doit obtenir un « consentement valide » de chaque utilisateur pour se conformer au GDPR. Actuellement, Meta obtient ce consentement par le biais de ses accords d’utilisation lors de l’inscription, ce qui, selon Datatilsynet, garantit que le « suivi de Meta est caché à la vue ». C’est particulièrement préoccupant, selon Datatilsynet, étant donné que « de nombreuses personnes vulnérables » utilisent Facebook et Instagram et « ont besoin d’une protection supplémentaire » – « comme les enfants, les personnes âgées et les personnes souffrant d’un handicap cognitif ».
Judin a déclaré à Ars que Meta peut contester la décision de Datatilsynet à tout moment devant le tribunal de district d’Oslo, mais il espère que l’entreprise prendra plutôt des mesures rapides pour mettre à jour ses services et assurer la conformité avec le GDPR.
« Compte tenu de la clarté de la Cour concernant la publicité comportementale de l’entreprise, nous espérons que Meta fera ce qu’il faut et se conformera simplement à la loi, sans s’éterniser devant les tribunaux une fois de plus », a déclaré M. Judin à Ars. « Si Meta se soucie vraiment de ses utilisateurs, elle devrait mieux protéger les droits des utilisateurs en matière de protection des données.
Meta n’a pas répondu à la demande de commentaire d’Ars, mais un porte-parole a déclaré à Reuters que la société examinait la décision de Datatilsynet. Ce mois-ci, Meta a reporté indéfiniment le lancement de sa nouvelle application Threads dans l’UE en raison de préoccupations réglementaires similaires. L’entreprise était si prudente pour s’assurer que Threads ne violait pas le GDPR qu’elle a commencé à bloquer les utilisateurs de l’UE qui tentaient d’utiliser des VPN pour accéder à l’application. En attendant, le porte-parole a déclaré qu’il n’y aurait pas d’impact immédiat sur ses services. (Mise à jour : Un porte-parole de Meta a déclaré à Ars : « Le débat sur les bases légales » pour la collecte de données « est en cours depuis un certain temps et les entreprises continuent de faire face à un manque de certitude réglementaire dans ce domaine. Nous continuons à nous engager de manière constructive » avec la Commission irlandaise de protection des données, « notre principal régulateur dans l’UE, en ce qui concerne notre conformité avec sa décision »).
