Publicité comportementale : Quelle base légale du RGPD utiliser ?

Publicité comportementale : Quelle base légale du RGPD utiliser ?

Par Anne Charlotte Andrieux et Virgile Servant-Volquin

Le « mensis horribilis » de Facebook n’en finit plus. Après avoir condamné WhatsApp à une amende de 225 millions d’euros en septembre, la DPC Irlandaise (Data Protection Commission), a envoyé un projet de décision à ses homologues européens proposant une amende entre 28 et 36 millions d’euros à l’encontre de Facebook.

Un projet de décision controversé

Le projet – confidentiel - de décision a été révélé par l’association à l’origine de la plainte, None of Your Business. Max Schrems, activiste de la vie privée sur le web et fondateur de l’association, a révélé les documents sur Internet, suscitant le courroux de la DPC.

Les faits reprochés à Facebook concernent la modification des Conditions générales d’utilisation opérée le 25 mai 2018, jour même de l’entrée en vigueur du RGPD. Cette modification a eu pour conséquence principale de fonder la licéité des divers traitements de données sur la base légale de l’exécution d’un contrat.

Le régulateur irlandais a cherché à savoir :

  • Si le fait de cliquer sur le bouton « accepter » de la modification des CGU pouvait être interprété comme un consentement au sens du RGPD.
  • Si Facebook pouvait choisir la base légale de l’exécution du contrat pour traiter les données de ses utilisateurs.
  • Si Facebook a maquillé la base légale utilisée en vue de faire croire à ses utilisateurs qu’il s’agissait du consentement.
  • Si Facebook a manqué à l’obligation d’information sur la base légale utilisée.

Les conclusions de la DPC sont les suivantes :

  • Facebook n’a pas cherché à requérir le consentement des utilisateurs (article 6(1)(a) du RGPD) pour traiter les données personnelles de ses utilisateurs. Le réseau social n’est d’ailleurs pas tenu par la loi de privilégier la base légale du consentement.
  • Facebook a légalement décidé d’utiliser la base légale de l’exécution du contrat pour fonder le traitement des données de ses utilisateurs, y compris en ce qui concerne les finalités publicitaires. Le DPC retient en effet que la publicité comportementale est une composante principale du service accepté par les utilisateurs.
  • En revanche, l’autorité considère que Facebook a manqué à l’obligation de clarté et de transparence de l’information quant à la base légale choisie pour fonder le traitement.

Ciblage publicitaire : consentement ou exécution contractuelle ?

Le cœur de la question réside dans le fait de savoir s’il est possible pour un fournisseur de réseau social comme Facebook de fonder le traitement des données personnelles à des fins de ciblage publicitaire comportemental sur le contrat qu’il conclut avec l’utilisateur du réseau social.

Pour rappel, le RGPD[1] prévoit que chaque traitement de données personnelles doit être fondé sur une des bases légales suivantes pour être licite :

  • Le consentement de l’utilisateur
  • L’exécution du contrat
  • L’existence d’une obligation légale
  • La sauvegarde des intérêts vitaux de la personne concernée
  • L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
  • L’intérêt légitime du responsable de traitement

La position du CEPD

A ce titre, le CEPD a publié en 2019 des lignes directrices concernant l’usage de la base légale du contrat dans les contrats de fourniture de services en ligne. Comme le rappelle la DPC, ces recommandations n’ont pas valeur obligatoire, mais permettent de préciser l’application des dispositions du RGPD aux cas d’espèces.

Il est ainsi rappelé que :

  • « La nécessité contractuelle n’est pas un fondement juridique approprié pour établir un profil des goûts et des choix de style de vie de l’utilisation en fonction de son parcours de navigation ».
  • « En règle générale, le traitement de données à caractère personnel à des fins de publicité comportementale n’est pas nécessaire à l’exécution d’un contrat de services en ligne » et ce d’autant plus qu’il doit toujours être possible de s’opposer au traitement des données à des fins de prospection [2].
  • Enfin, l’article 6(1)(b) « ne saurait fournir une base juridique pour la publicité comportementale en ligne au simple motif que cette publicité finance indirectement la fourniture du service »

Le CEPD semble donc opposé à ce que la base légale du traitement des données à des fins de ciblage publicitaire soit celle de l’exécution d’un contrat.

La résistance de la DPC

Pour la DPC, le ciblage publicitaire personnalisé des utilisateurs de Facebook est une composante essentielle du contrat. Dans le projet de décision, la DPC se livre à un exercice d’interprétation des CGU de Facebook au vu du droit général des contrats, de la jurisprudence européenne, du RGPD ainsi que de certaines parties des recommandations du CEPD pour motiver le fait que Facebook puisse utiliser la base légale du contrat pour cibler ses utilisateurs par de la publicité comportementale.

L’argument principal de la DPC tient à l’appréciation des éléments essentiels du contrat qui lie Facebook à l’utilisateur :

  • Ces éléments essentiels du contrat ne doivent pas être appréciés d’une manière désincarnée, par rapport à ce qu’on pourrait attendre de manière abstraite d’un contrat de fourniture de réseaux sociaux.
  • Dans cette vision, il n’est effectivement pas envisageable que le ciblage comportemental soit une composante essentielle du contrat de fourniture d’un réseau social.
  • Mais pour la DPC, les CGU doivent être appréciées au vu de la relation spécifique entre Facebook et l’utilisateur[3]. Aussi, il est raisonnable d’attendre que le consommateur sache pertinemment au vu du débat public et du caractère gratuit de l’inscription que l’on peut s’attendre à ce que Facebook mène du ciblage publicitaire. Le régulateur irlandais aurait ainsi la volonté de faire jurisprudence de l’adage populaire « quand c’est gratuit, c’est que c’est vous le produit ! »

Suites probables de la décision

Cette décision interpelle dans la mesure où le CNPD luxembourgeois a sanctionné Amazon à hauteur de 746 millions d’euros. La décision est restée confidentielle, mais la plainte déposée par l’association « La Quadrature du Net » visait également le système de ciblage publicitaire d’Amazon, supposément imposé aux utilisateurs qui utilisent le service.

Le montant restreint de l’amende (0.04% du CA de Facebook) peut donc s’interpréter comme le refus de la DPC de suivre la motivation du CNPD quant à l’interprétation de l’article 6 du RGPD et à la faculté pour les opérateurs de fonder le ciblage publicitaire sur une autre base légale que le consentement.

En application du mécanisme du guichet unique, la DPC a soumis le projet de décision aux autorités nationales également concernées. Ces dernières disposent d’un mois pour exprimer leurs éventuelles objections.

Affaire à suivre.

***

 

Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner dans la mise en conformité au RGPD de vos traitements de données. Pour nous contacter, cliquez-ici.

 

[1] Article 6

[2] Article 21, 2° du RGPD

[3] Point 4.27 DPC Case Reference: IN-18-5-5

Anne-Charlotte Andrieux

Auteur Anne-Charlotte Andrieux

Suivez-nous sur Linkedin