Crédits image : TechCrunch

Meta a perdu une première tentative pour obtenir une injonction sur l’interdiction imposée par l’autorité norvégienne de protection des données sur son ciblage publicitaire comportemental sans consentement en juillet. L’ordonnance prévoit également des amendes journalières en cas de non-respect.

Un tribunal de district d’Oslo a rejeté les arguments de Meta visant à bloquer l’ordonnance et a statué en faveur de Datatilsynet. « Nous sommes très satisfaits de la décision du tribunal et du résultat. Il s’agit d’une grande victoire pour les droits des citoyens en matière de protection des données », a déclaré la directrice générale de la DPA, Line Coll.

Meta pourrait faire appel de la décision devant une juridiction supérieure. Mais elle n’a pas confirmé son intention de le faire.

« Nous sommes déçus par la décision d’aujourd’hui et nous allons maintenant réfléchir aux prochaines étapes », nous a déclaré un porte-parole de Meta. « Nous avons déjà annoncé notre intention de faire passer tous les utilisateurs de l’UE et de l’EEE (Espace économique européen) au GDPR (Règlement général sur la protection des données) et continuera à travailler avec la Commission irlandaise de protection des données (DPC) pour faciliter cette démarche ».

L’autorité norvégienne de protection des données a confirmé que les amendes journalières s’accumulaient sur Meta pour ne pas avoir respecté son interdiction de diffuser des publicités qui ciblent en suivant et en profilant les utilisateurs locaux sans leur consentement.

La décision de la DPA prévoit des amendes d’un million de NOK (~100 000 $) par jour de non-conformité – à partir du 14 août – ce qui suggère que les amendes perçues dépassent déjà les 2 millions de dollars. Un porte-parole de l’autorité a toutefois confirmé qu’aucune somme n’avait encore été perçue.

L’ordonnance du Datatilsynet, qui a été prise en vertu des pouvoirs d’urgence prévus par le GDPR, ne peut s’appliquer que pendant trois mois, car l’autorité norvégienne n’est pas le principal superviseur des données de la Meta pour le GDPR (c’est le DPC de l’Irlande). Mais l’ordonnance a été conçue comme un palliatif pour répondre au fait que Meta a continué à traiter les données des personnes à des fins de ciblage publicitaire sans disposer d’une base légale valide.

L’argument de la nécessité contractuelle invoqué par Meta pour justifier ce traitement a été rejeté par les autorités de protection des données de l’UE au début de l’année 2008, mais il n’a pas été pris en compte. de cette année. La société a ensuite invoqué un « intérêt légitime » pour traiter les données des internautes à des fins publicitaires. Cependant, la CJUE, la plus haute juridiction de l’Union européenne, a mis fin à cette pratique en juillet dernier, lorsqu’elle a rendu un jugement très attendu concernant une contestation de la collecte de données par Meta, introduite des années auparavant par l’autorité allemande de la concurrence, estimant que l’intérêt légitime n’est pas non plus approprié pour la « publicité personnalisée » et que Meta doit obtenir le consentement de la personne concernée.

Après cela, au début du mois dernier, Meta a finalement annoncé son « intention » de passer à une base juridique fondée sur le consentement pour sa publicité ciblée – suggérant qu’elle commencerait à demander la permission aux utilisateurs régionaux de les suivre et de les profiler pour le ciblage publicitaire. Mais son billet de blog annonçant ce changement ne précisait pas quand il aurait lieu. Le point de vue de l’autorité norvégienne de protection des données est essentiellement que le traitement illégal se poursuit dans l’intervalle, ce qui explique pourquoi elle a pris la décision d’émettre une ordonnance d’urgence.

Il n’est pas évident de comprendre pourquoi l’Irlande, qui est le chef de file de la surveillance de Meta dans le cadre du GDPR, n’a pas agi avec la même célérité pour mettre fin au traitement illégal des annonces.

Nous avons contacté le DPC pour lui poser des questions, mais à l’heure où nous mettons sous presse, il n’avait pas répondu à nos demandes de mise à jour.

À la mi-juillet, le DPC a déclaré à TechCrunch qu’il avait procédé à une évaluation de la conformité des publicités de Meta suite à la décision du GDPR de janvier qui a annulé sa demande de nécessité contractuelle et à la décision plus récente de la CJUE qui a bloqué l’utilisation de LI – déclarant alors qu’il avait transmis son évaluation à d’autres autorités de protection des données de l’UE pour examen. Elle a également déclaré qu’elle espérait conclure ce processus d’ici la mi-août. Toutefois, aucun développement public n’est intervenu depuis lors (hormis l’annonce par Meta d’un passage futur, non daté, au consentement). On ne sait donc pas très bien pourquoi l’Irlande met tant de temps à agir sur une question qui concerne les droits et la vie privée de centaines de millions d’Européens.

Mise à jour : Le commissaire adjoint du DPC, Graham Doyle, a maintenant envoyé cette ligne : « Nous attendons les observations de (Meta) concernant la modification du consentement et nous les partagerons avec les autres CSA (autorités de surveillance concernées) lorsque nous les recevrons, de sorte que le processus est en cours.

Datatilsynet a confirmé avoir été en contact avec le DPC concernant la base juridique des publicités de Meta, mais a suggéré que l’attention de l’autorité de régulation irlandaise est dirigée vers ce qui se passera à l’avenir, avec le nouveau « processus de consentement » de Meta, et non sur le traitement illégal en cours visé par l’ordonnance d’interdiction norvégienne.

« Nous sommes en contact avec nos collègues irlandais », nous a dit son porte-parole. « Le DPC suit actuellement le processus de consentement à Meta… et ce qui pourrait se produire à l’avenir. Ensuite, nous examinons ce qui se passe actuellement, ce qui est en fait distinct. On peut dire que nous nous tenons mutuellement au courant, mais ils ne font rien en rapport avec le traitement en cours.

L’autorité norvégienne pourrait saisir le Conseil européen de la protection des données (CEPD) et lui demander de prendre une décision contraignante, qui s’appliquerait à l’ensemble de l’UE (et ne serait pas limitée dans le temps). Mais elle ne l’a pas encore fait, bien que le porte-parole ait déclaré qu’elle « évaluait intensément » cette possibilité.

« Ce qui se passe – cette publicité basée sur la surveillance – n’est pas seulement un problème norvégien, c’est un problème européen. C’est pourquoi il pourrait être nécessaire que nous nous adressions à l’EDPB », a-t-il ajouté.