Facebook et Instagram risquent de lourdes amendes pour avoir utilisé vos données sans autorisation
Il s'avère que le « paiement ou consentement » de Meta n'est pas acceptable en vertu du DMA.
Une enquête de la Commission européenne (UE) annonce de mauvaises nouvelles pour Facebook et Instagram.
L'UE a notifié à Meta, la société mère de Facebook et d'Instagram, que son modèle de publicité personnalisée « payant ou consenti » viole le Digital Markets Act (DMA).
« Notre enquête vise à garantir la contestabilité des marchés sur lesquels des contrôleurs d'accès comme Meta accumulent les données personnelles de millions de citoyens européens depuis de nombreuses années », a déclaré lundi Margrethe Vestager, membre de la Commission européenne, dans un communiqué. « Notre avis préliminaire est que le modèle publicitaire de Meta n'est pas conforme à la loi sur les marchés numériques. Et nous voulons permettre aux citoyens de prendre le contrôle de leurs propres données et de choisir une expérience publicitaire moins personnalisée. »
L'UE met désormais la balle dans le camp de Meta. Le géant des réseaux sociaux a désormais le droit de se défendre contre les conclusions de l'enquête et d'envoyer une réponse à l'UE pendant que l'enquête se poursuit. Conformément à la loi, l'UE doit conclure l'enquête DMA dans les 12 mois suivant la date à laquelle elle a commencé, le 25 mars 2024.
Si l'enquête révèle que Meta n'a pas respecté le DMA, la Commission peut infliger à Facebook et à la société mère d'Instagram une amende représentant 10 % de son chiffre d'affaires mondial total.
Le modèle « payer ou consentir » de Meta
En mars, Indigo Buzz a fait état d'un certain nombre d'enquêtes menées par l'UE sur les grandes entreprises technologiques pour déterminer leur conformité avec la nouvelle loi DMA. Cette loi oblige en fait les entreprises « gardiennes » à ouvrir leurs plateformes à des tiers afin de stimuler la concurrence.
L’une de ces enquêtes concernait Meta pour son modèle « payer ou consentir » mis en œuvre sur Facebook et Instagram.
Les entreprises de contrôle d'accès doivent obtenir le consentement de leurs utilisateurs dans l'UE lorsqu'elles partagent des données utilisateur entre leurs plateformes principales. Cela signifie que si Meta souhaite partager les données du compte d'un utilisateur Facebook ou Instagram afin de pouvoir diffuser des publicités personnalisées, elle doit obtenir une autorisation explicite pour le faire. Le simple fait de saisir les informations de son compte sur une plateforme de médias sociaux ne donne pas à l'entreprise le consentement pour l'utilisation secondaire des données de cet utilisateur via une autre de ses plateformes.
Meta a toutefois géré son activité en partant du principe que le modèle « payer ou consentir » respecte les règles du DMA. Meta soutient que l’entreprise propose un abonnement payant aux utilisateurs de Facebook et d’Instagram, ce qui permet une expérience sans publicité. Si un utilisateur ne s’abonne pas à son offre payante, selon Meta, il a choisi de consentir à ce que ses données soient utilisées à des fins publicitaires.
Les conclusions préliminaires de la Commission européenne ont déterminé que le modèle « payer ou consentir » de Meta n'est pas conforme au DMA.
« En vertu de l'article 5(2) de la DMA, les contrôleurs d'accès doivent obtenir le consentement des utilisateurs pour combiner leurs données personnelles entre les services de plateforme de base désignés et d'autres services, et si un utilisateur refuse ce consentement, il doit avoir accès à une alternative moins personnalisée mais équivalente », indique le communiqué de l'UE. « Les contrôleurs d'accès ne peuvent pas subordonner l'utilisation du service ou de certaines fonctionnalités au consentement des utilisateurs. »
Pour être clair, l'UE dit que Facebook et Instagram ne peuvent pas diffuser de publicités personnalisées à un utilisateur, même s'il n'est pas un abonné payant des plateformes, à moins d'avoir reçu le consentement de cet utilisateur.
Il sera intéressant de voir la réponse de Meta aux conclusions de l'UE. Si l'enquête finale se prononce contre l'entreprise, elle devra se conformer à la DMA ou s'exposer à des amendes encore plus élevées, qui peuvent atteindre jusqu'à 20 % du chiffre d'affaires mondial total en cas d'infraction répétée. Selon la Commission, le « non-respect systémique » peut donner lieu à d'autres mesures, notamment l'interdiction pour l'entreprise gardienne de procéder à des acquisitions ou l'obligation de vendre tout ou partie de ses activités.