Un tribunal d’Oslo, en Norvège, a confirmé les amendes journalières infligées par l’Autorité norvégienne de protection des données à Meta pour avoir diffusé de la publicité comportementale en violation des règles de confidentialité des données.
En juillet, l’agence de protection des données, connue sous le nom de Datatilsynet, a temporairement interdit à Meta et à son activité de publicité sociale Facebook de diffuser des publicités ciblées sur le comportement dans le pays, sur la base d’un litige en Europe initié par le groupe de protection de la vie privée None Of Your Business (NOYB) en 2018.
Ces affaires ont abouti à une décision (PDF) rendue en juillet par la Cour de justice de l’Union européenne (CJUE), selon laquelle Meta ne pouvait pas contourner les exigences en matière de consentement prévues par le règlement général sur la protection des données (RGPD). Le GDPR s’applique à l’Espace économique européen (EEE) auquel la Norvège participe.
Meta avait fait valoir qu’elle obtenait le consentement pour la publicité ciblée lorsque les utilisateurs de ses services acceptaient ses conditions générales, mais la CJUE a rejeté cet argument.
La Commission irlandaise de protection des données (DPC), qui supervise l’unité commerciale de Meta basée en Irlande, a ensuite demandé à divers autres organismes de réglementation de commenter son évaluation selon laquelle Meta Ireland ne respectait pas les exigences du GDPR en matière de traitement des données.
Datatilsynet a indiqué à la DPC qu’elle prendrait des mesures pour interdire temporairement les publicités de Meta qui violent les règles. Le 14 août, l’agence norvégienne des données a imposé une amende d’un million de couronnes (~93 200 $) par jour à Meta Ireland pour ne pas avoir respecté son interdiction des publicités ciblées – jusqu’à un maximum d’environ 8,5 millions de dollars d’amendes au total.
Meta Ireland et Facebook Norvège ont contesté l’amende et l’interdiction des publicités comportementales, arguant que la décision n’était pas valable et que Meta n’avait pas eu suffisamment de temps pour répondre. Meta a également contesté l’application de l’article 66 du GDPR, qui permet aux autorités de données d’adopter des mesures immédiatement lorsqu’il y a un besoin urgent d’agir pour protéger les droits et les libertés des personnes concernées.
Pour sa défense, Meta a déclaré au tribunal d’Oslo qu’elle devrait suspendre les services Facebook et Instagram en Norvège pour se conformer à l’ordonnance.
« Le marketing comportemental est très répandu et existe depuis de nombreuses années, y compris pendant toute la période où le GDPR est entré en vigueur », explique Meta dans sa soumission traduite mécaniquement (PDF) au tribunal.
L’entreprise de publicité sociale a noté dans sa plaidoirie que le mégalithe des médias sociaux a récemment modifié ses politiques pour donner aux utilisateurs plus de contrôle sur la façon dont leurs données sont traitées, et que l’action urgente en vertu de l’article 66 n’est donc pas nécessaire.
Meta a fait valoir qu’elle ne pouvait tout simplement pas se conformer : « En outre, la procédure d’urgence interférera avec le processus en cours de la (Commission irlandaise de protection des données) et représentera en pratique une obligation impossible. La décision implique de facto que Meta Ireland doit temporairement arrêter les services Facebook et Instagram en Norvège. »
Le tribunal d’Oslo n’a pas été sensible aux protestations de Meta et s’est rangé du côté de Datatilsynet.
« Nous sommes très satisfaits de la décision du tribunal et de son résultat », a déclaré Line Coll, directrice générale de Datatilsynet, dans un communiqué. « Il s’agit d’une grande victoire pour les droits des citoyens en matière de protection des données.
Meta, sans surprise, a eu la réaction inverse.
« Nous sommes déçus par la décision d’aujourd’hui et nous allons maintenant réfléchir aux prochaines étapes », a déclaré un porte-parole de Meta à l’adresse suivante The Register dans un courriel. « Nous avons déjà annoncé notre intention de faire passer tous les utilisateurs de l’UE et de l’EEE à la base juridique du GDPR, le consentement, et nous continuerons à travailler avec la Commission irlandaise de protection des données pour faciliter cette transition. »
Meta doit obtenir l’approbation de la Commission irlandaise de protection des données pour tout mécanisme de consentement qu’elle déploie. En attendant, les services de Meta en Norvège restent inchangés, tout comme les amendes, qui seront imposées au maximum jusqu’au 3 novembre 2023. Comme indiqué précédemment, le montant maximal de la sanction s’élève à environ 8,5 millions de dollars aux taux de change actuels, soit environ 0,15 % des bénéfices de Meta pour le premier trimestre 2023.
The Register a demandé à Datatilsynet si l’agence s’attendait à une nouvelle résistance juridique de la part de Meta.
« D’une part, Meta est une entreprise notoirement litigieuse. Intenter des actions en justice contre les régulateurs semble faire partie intégrante de leur modèle d’entreprise », a répondu Tobias Judin, chef de la section internationale de Datatilsynet.
« D’un autre côté, la décision de justice rendue aujourd’hui est très complète et très claire. Nous ne savons donc pas si Meta fera appel. Je pense que seul Meta a la réponse à cette question ». ®
