Publicité comportementale : base légale contractuelle ?
Le 6 octobre 2021, la DPC, l’autorité de contrôle irlandaise de la réglementation sur les données personnelles, a soumis à ses homologues européens un projet de décision à l’encontre de Facebook sur la publicité comportementale [1].
Elle validerait la possibilité de fonder un traitement de publicité comportementale sur l’exécution d’un contrat. Ce sans requérir le consentement des personnes visées.
Si ce projet était confirmé, il pourrait constituer une opportunité. Toute entreprise souhaitant rémunérer son activité sur la publicité comportementale proposée à ses utilisateurs.
Ce projet de décision est l’occasion de revenir sur plusieurs principes du RGPD. Et de rappeler le cadre du traitement de données dans un but de publicité comportementale.
Publicité comportementale : genèse de l’affaire
Depuis sa création Facebook collecte et traite un nombre important de données personnelles de ses utilisateurs. En particulier l’ensemble des informations renseignées en complétant son profil : civilité, nom, âge, intérêts, religion, appartenance politique.
Facebook se rémunère en partie grâce à la publicité comportementale fournie à ses utilisateurs. Ce en fonction des données qu’ils ont renseignées.
Dans la nuit du 24 au 25 mai 2018, jour d’entrée en vigueur du RGPD, Facebook a modifié ses conditions générales d’utilisation (CGU).
Avant cette date, les traitements des données personnelles de ses utilisateurs mis en œuvre par Facebook afin de leur proposer de la publicité comportementale, étaient fondés sur le consentement desdits utilisateurs.
Au matin du 25 mai 2018, ils étaient désormais fondés sur l’exécution du contrat liant chaque utilisateur à Facebook : les CGU.
Max Schrems, un activiste autrichien à la tête de l’ONG NYOB (None Of Your Business) a vu rouge. Il a immédiatement déposé plainte auprès de l’autorité de contrôle autrichienne, la Datenschutzbehörde.
Point sur la réglementation
Pour être licite, tout traitement de données à caractère personnel doit reposer sur une base légale.
L’article 6 RGPD propose six bases légales, notamment : le consentement de la personne concernée et le fait que le traitement soit nécessaire à l’exécution d’un contrat.
Lorsque le traitement concerne des données personnelles dites « sensibles » [2], l’article 9 RGPD propose des bases légales distinctes, parmi lesquelles le consentement explicite (i.e. spécialement pour le traitement de ces données sensibles) mais pas l’exécution d’un contrat.
S’agissant de la base légale de la publicité comportementale, les lignes directrices 2/2019 du CEPD [3], bien que non-contraignantes, sont claires :
« [L’exécution d’un contrat] ne saurait fournir une base juridique pour la publicité comportementale en ligne au simple motif que cette publicité finance indirectement la fourniture du service. »
Réflexions sur le projet de décision de la DPC sur la publicité comportementale
La publicité comportementale est-elle « nécessaire » à l’exécution des CGU de Facebook ?
La DPC répond par l’affirmative, semblant ainsi faire de la résistance au CEPD.
Trois remarques doivent être apportées :
- le cas de la publicité comportementale ayant pour fondement les données dites « sensibles » n’est pas évoqué. En effet, Facebook peut être amenée à proposer des publicités ciblées sur le fondement des préférences politiques par exemples. Dans ce cas, la base légale de l’exécution des CGU n’est pas possible ;
- Facebook collecte des données directement auprès des utilisateurs, sans utiliser de cookies ou autres traceurs. Or, le consentement au dépôt de cookies est obligatoire, ce qui anéantirait les bénéfices de cette base légale. En effet, si le traitement serait possible sans consentement, la collecte par l’intermédiaire du dépôt du cookie serait, elle, subordonnée au consentement.
- la décision de la DPC ne ferait pas nécessairement « jurisprudence » à l’échelle européenne. En effet, chaque autorité de contrôle pourrait adopter une décision différente si un cas similaire lui est soumis.
Prochaines étapes
Considérant que le traitement litigieux est transfrontalier [4], la DPC a transmis son projet de décision à ses homologues.
En vertu du principe de coopération, les autorités européennes peuvent formuler leurs objections dans les quatre semaines suivant transmission du projet de décision.
La DPC peut maintenir sa décision malgré la présence d’objections pertinentes et motivées. Alors le mécanisme de contrôle de cohérence prévu pourra être mis en œuvre.
Le cas échéant, le CEPD pourrait avoir le dernier mot en adoptant une décision contraignante recueillant l’approbation de deux tiers de ses membres.
Point d'attention
L’identification de la bonne base légale est un prérequis fondamental à tout traitement de données personnel. Une analyse en amont est fortement recommandée afin de mettre en œuvre sereinement les traitements envisagés.
[1] La modification de la base légale n’est pas le seul grief émis. Nous avons cependant choisi de nous concentrer sur cette seule problématique au sein du présent article.
[2] origine raciale/ethnique, opinions politiques, convictions religieuses/philosophiques, appartenance syndicale, données de santé.
[3] Groupement des autorités européennes en charge de la protection des données personnelles, dont la CNIL et la DPC font partie.
[4] Facebook opère dans l'Union européenne.