« Consentir ou payer » : le nouveau modèle de Meta sur la sellette ?

Adopté par certains services en ligne dont ceux de Meta (maison-mère de Facebook) depuis novembre 2023, ce modèle permet de proposer aux utilisateurs de payer un abonnement mensuel. Objectif : que leurs données personnelles ne soient pas utilisées à des fins commerciales. A contrario, si l’utilisateur ne paie pas l’abonnement, cela signifie qu’il a accepté que Meta utilise ses données dans le cadre de publicités ciblées.

Selon les trois autorités, ce modèle présente un risque d’illégalité. Et pour cause, le RGPD prescrit que tout consentement à l’utilisation de données personnelles soit donné librement. Or l’obligation de paiement propre à ce procédé pourrait être assimilée à un vice de consentement. L’utilisateur pouvant en effet se sentir contraint d’accepter l’usage de ses données par le service.

« La protection des données est-elle un droit fondamental pour tous ou un luxe réservé aux riches ? » s’interroge donc Tobias Judin, chef de la section internationale de l’autorité norvégienne de protection des données. Selon lui, la réponse à cette question que fournira le CEPD « façonnera l’Internet pour les années à venir ».

Actuellement, la DPC (Commission de protection des données d’Irlande), pays dans lequel se trouve le siège européen de Meta, examine déjà l’utilisation de ce modèle par l’entreprise américaine au regard du RGPD. De son côté, l’action des trois autorités implique uniquement ce nouveau modèle en tant que tel, abstraction faite de son utilisation par Meta.

Aussi, comme on peut lire dans un communiqué de l’autorité norvégienne, la demande d’avis est principalement motivée par l’absence d’approche harmonisée au niveau européen concernant la légalité du modèle. Cela n’est pas étonnant quand on sait que le développement de ce procédé commercial profite d’un flou juridique pouvant recevoir différentes interprétations.

Une rupture dans la protection des données ?

Le 4 juillet 2023, la Cour de justice de l’Union européenne (CJUE) a tenté de mettre un terme à de nombreux conflits entre Meta et les régulateurs européens. Saisie d’un renvoi préjudiciel par un tribunal allemand, le juge européen devait se prononcer sur la conformité au RGPD du mode de récolte des données personnelles par l’entreprise américaine.

A ce moment-là, l’entreprise ne demandait pas le consentement explicite de l’utilisateur de Facebook pour valider le traitement de ses données personnelles, effectué en grande partie à des fins de ciblage publicitaire. Elle considérait qu’il l’approuvait en acceptant les conditions générales d’utilisation du service. Le géant américain justifie ce mode de traitement en revendiquant son « intérêt légitime ».

En effet, l’article 6-1-f du RGPD prévoit que le traitement des données à caractère personnel peut se faire sans consentement explicite s’il est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ». Ces fins peuvent être relatives, par exemple, à la sécurité du réseau. Aussi, il doit alors être opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt.

Or en l’espèce, le juge a annoncé que le traitement opéré à des fins de personnalisation de la publicité outrepasse cet intérêt légitime. De plus, il a refusé à Meta de revendiquer d’autres exceptions à l’obligation de consentement. C’est pourquoi il a décidé qu’un tel traitement nécessite le consentement explicite et libre des utilisateurs.

Le 1er novembre 2023, le CEPD s’est aligné sur la position de la CJUE en demandant au régulateur irlandais de prendre des mesures rapides pour contraindre Meta de ne pas traiter des données personnelles destinées à des publicités ciblées sans le consentement de l’usager.

En outre, dans sa décision, le juge a expliqué que les utilisateurs qui refusent de donner leur consentement à ce genre de traitement ne doivent pas être « pour autant tenus de renoncer intégralement à l’utilisation du service offert par l’opérateur du réseau social en ligne ». C’est pourquoi il a précisé qu’ils peuvent se voir proposer « contre une rémunération appropriée, une alternative » leur permettant de poursuivre une utilisation du service « non accompagnée de telles opérations de traitement de données ».

C’est sur la base de cette précision du juge que Meta a décidé de lancer des abonnements payants pour Facebook et Instagram. Comme l’a déclaré Max Schrems, l’introduction de ce procédé « dans le domaine du droit à la protection des données constitue un changement majeur ».

Un nouveau contournement du droit européen ?

Décidé à aller « devant les tribunaux », l’activiste autrichien explique que la possibilité mentionnée par la CJUE de mettre en place un tel modèle constitue un obiter dictum, c’est-à-dire une opinion du juge sans lien direct avec l’affaire et pas nécessairement contraignante. Ainsi, son association NOYB met en doute la légalité de ce modèle. C’est pourquoi elle a déjà déposé deux plaintes contre Meta auprès de l’autorité autrichienne de protection des données.

Le principal argument de la première plainte, du 28 novembre 2023, pointe le coût élevé de l’abonnement ne pouvant être considéré comme « une rémunération appropriée ». Et ce en partie parce qu’il dissuade l’utilisateur de protéger ses données, celui-ci préférant ne pas payer à cause d’une contrainte financière. Cela va donc à l’encontre de l’article 4-11 du RGPD qui définit le consentement en tant que « manifestation de volonté » qui doit être « libre ».

La demande d’avis des autorités de Hambourg, de Norvège et des Pays-Bas a repris cet argument en en ajoutant un autre. En effet, comme l’explique le communiqué du régulateur norvégien, l’utilisateur d’un service en ligne populaire peut se sentir dépendant de celui-ci, dans la mesure où il lui permet de garder contact avec ses amis et collègues. Ainsi, cette dépendance peut fortement influencer son consentement.

La deuxième plainte de NOYB, déposée le 11 janvier 2024, concerne les conditions de retrait du consentement. Alors que l’article 7-3 du RGPD prévoit qu’il est « aussi simple de retirer que de donner son consentement », l’association explique qu’il est difficile d’opérer ce retrait. En effet, la page permettant de révoquer le consentement n’est pas aisée à trouver. Aussi, ce retrait nécessite de payer un abonnement onéreux.

Parallèlement à ces actions fondées sur le droit des données, le Bureau européen des unions de consommateurs (BEUC) a déposé une plainte contre Meta, fin novembre 2023, auprès des autorités de protection des consommateurs de l’UE. Fondée sur les directives européennes relatives aux pratiques commerciales déloyales et aux clauses abusives, celle-ci estime que le nouveau modèle commercial de l’entreprise américaine « constitue une pratique agressive » car il crée « un sentiment d’urgence » poussant « les consommateurs à faire un choix qu’ils pourraient ne pas vouloir faire ».

A la lecture de cette plainte, on apprend que Meta « induit en erreur » les consommateurs en leur faisant choisir entre une option payante et une option dite « gratuite ». «Or cette dernière option n’est pas « gratuite » puisque les consommateurs paient Meta en fournissant leurs données » précise-t-elle.

Face à ces multiples assauts juridiques, l’avenir du modèle « consentir ou payer » semble incertain. C’est pourquoi l’avis du CEPD est très attendu. Il sera rendu au plus tard début mai et toutes les autorités européennes de protection des données devront s’y conformer. Aussi, il concerne tous les services en ligne usant d’un tel modèle.