Meta et RGPD : pourquoi l’abonnement payant à Facebook et Instagram pose problème
(Article originellement publié sur mon blog personnel)
Depuis le 30 octobre dernier, Meta impose aux internautes de choisir entre publicités ou abonnement payant pour accéder à Facebook ou à Instagram. « Les lois changent dans votre région« , assure la firme de Mark Zuckerberg sans préciser de quelles lois elle parle. « Nous vous proposons donc un nouveau choix concernant la façon dont nous utilisons dont nous utilisons vos informations pour les publicités« . Et la question à 13 euros par mois de tomber : "Voulez-vous vous abonner, ou continuer à utiliser nos produits gratuitement avec des publicités ?" .
Or cette question à laquelle l’internaute ne peut échapper qu’en quittant Facebook ou Instagram n’est pas sans poser quelques difficultés juridiques. Car tout porte à croire qu’à nouveau et avec une constance qui force l’irrespect, Facebook et sa maison mère Meta violent allégrement le RGPD et le droit européen. Pour comprendre pourquoi, il faut analyser les textes et la jurisprudence, et regarder ce que fait Meta exactement.
Tout d’abord, il faut rappeler que la Charte des droits fondamentaux de l’Union européenne dispose en son article 8 que « toute personne a droit à la protection des données à caractère personnel la concernant« . Lorsqu’il y a traitement de données, cela doit être fait « sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi« . La protection des données personnelles est donc reconnue en tant que droit fondamental auquel tout Européen a droit, quelle que soit notamment sa condition sociale. Le consentement au traitement des données est mis en avant comme base indispensable par rapport aux autres fondements qui ne peuvent être que des exceptions prévues par le législateur. Le RGPD reconnaît ainsi cinq autres bases légales possibles :
Au moment de l’entrée en application du RGPD le 25 mai 2018, Facebook a modifié ses conditions d’utilisation pour prétendre la publicité personnalisée faisait partie des services de base de la plateforme, et donc que faire du ciblage publicitaire à partir des données collectées auprès de l’internaute était une « nécessité » pour que l’utilisateur puisse profiter des services de Facebook dans le cadre du contrat passé entre l’internaute et la plateforme :
En choisissant cette base légale, Facebook espérait ne pas avoir à demander le consentement de l’internaute pour espionner son utilisation d’Internet et de Facebook à des fins publicitaires. Il s’est donc fondé sur l’article 6(1)(b) du RGPD qui autorise qu’un traitement soit fait sans le consentement de la personne s’il est « nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci« . La CNIL irlandaise, qui n’a pas une tradition spectaculaire de fermeté à l’égard des multinationales qui décident d’établir leur siège fiscal européen en Irlande, avait d’abord prévu de donner quitus à Meta en lui demandant juste de faire un plus gros effort de transparence. En tant qu’autorité cheffe de file dans l’Union européenne pour les entreprises irlandaises, c’est elle qui a le premier mot. Mais pas nécessairement le dernier. Ainsi, faisant utilité du mécanisme de mise en cohérence prévu par l’article 65, les différentes autorités de protection réunies au sein du Comité européen de protection des données (CEPD) ont demandé à la CNIL irlandaise de revoir sa copie. Elles ont obtenu en janvier 2023 une condamnation de Meta à payer 390 millions d’euros d’amende, et surtout le CEPD a interdit à Facebook de continuer à utiliser la nécessité contractuelle comme base légale du traitement de données à des fins publicitaires. Elle n’a fait ainsi que rappeler ses propres lignes directrices publiées dès… 2019 ! Celles-ci prévenaient on ne peut plus explicitement que l’article 6(1)(b) du RGPD « ne saurait fournir une base juridique pour la publicité comportementale en ligne au simple motif que cette publicité finance indirectement la fourniture du service« . Mais il a fallu attendre que le CEPD revienne à la charge le 27 octobre 2023 pour que la CNIL irlandaise ait l’obligation de s’assurer en urgence que Facebook cesse effectivement toute publicité comportementale basée sur l’exécution du contrat en Europe.
C’est donc pour cette raison, et non pas parce que « les lois changent dans votre région« , que Meta a finalement imposé aux internautes de choisir entre continuer à utiliser Facebook avec des publicités, ou payer une dizaine d’euros par mois pour éviter les publicités. Elle a dû changer de base légale et se reposer sur le consentement de l’internaute.
Mais la manière d’obtenir ce consentement par un choix entre consentir ou payer est-elle légale pour autant ?
En droit civil, il existe depuis toujours un principe de réalité du consentement qui fait qu’un contrat arraché sous la contrainte n’a aucune valeur juridique et doit être considéré nul et non avenu. Pour le plaisir littéraire, je ne résiste pas à vous citer la mise en poésie du code Napoléon par Decomberousse publiée en 1811, qui résumait ainsi ce principe :
"Si le consentement est donné par erreur,
Il est, aux yeux des lois, sans aucune valeur ;
S’il est surpris par dol, ravi par violence,
Il ne saurait avoir de valable existence.
(…)
Entre des contractants, le dol exécuté,
De la convention, cause la nullité,
Quand, de la part de l’un, les manoeuvres sont telles
Qu’il est, aux yeux du juge, évident que, sans elles,
Recommandé par LinkedIn
Jamais l’engagement ne se fût achevé,
Ne se présumant point, il doit être prouvé."
Ce principe de réalité du consentement transpire à travers le RGPD. Ainsi l’article 4 définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement« . L’article 7(4) précise que « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat« . Dit autrement, prétendre qu’un traitement est indispensable pour livrer un service, alors que ça n’est pas vrai, invalide le consentement donné à ce traitement. C’est là que l’on se rapproche du problème avec Meta.
Remarquons que Facebook, intelligemment, ne demande pas explicitement à l’internaute de choisir entre payer ou accepter que ses données soient traitées à des fins publicitaires. Officiellement, Facebook vend un service sur abonnement dépourvu de toute forme de publicité, et un autre gratuit qui intègre des publicités, qui se trouvent être des publicités personnalisées. A l’internaute de choisir entre les deux, dans une relation purement contractuelle et consentie. Ou l’est-elle vraiment ?
Lorsque l’on regarde la différence entre ces deux offres, il est bien précisé que si vous choisissez l’option gratuite, « vos informations seront utilisées pour les publicités« , alors que si vous optez pour l’abonnement payant, « vos informations ne seront pas utilisées à des fins publicitaires« . Ceux qui ne payent pas n’ont aucun autre choix que de consentir à l’exploitation de leurs données personnelles à des fins publicitaires. Ou plutôt si, ils ont un autre choix : partir. « Si vous ne souhaitez pas accepter ces modifications, vous pouvez choisir de cesser d’utiliser nos services« . Aimable.
La grande fiction déployée par Meta est donc de prétendre que l’internaute qui n’accepte pas de payer accepte en revanche que ses données soient traitées sans aucune réserve pour de la publicité ciblée. « Nous nous fonderons désormais sur votre consentement pour utiliser vos informations dans le but de vous montrer des publicités« , peut-on lire sur la Politique de confidentialité de Facebook.
Entre autres données, l’internaute qui ne paye pas accepte ainsi que soient analysés pour le profiler « les messages que vous envoyez et recevez« , « les métadonnées à propos du contenu et des messages« , « les types de contenus que vous visualisez« , « les achats et autres transactions que vous effectuez« , « l’heure, la fréquence et la durée de vos activités« , « des informations à propos des sites web que vous consultez ou avec lesquels vous interagissez lorsque vous utilisez notre navigateur dans l’application« , « les sites web que vous consultez et les données de cookies, notamment par le biais des plugins sociaux ou du Pixel Meta« , « comment vous utilisez les produits et services de nos partenaires, en ligne et en personne« , etc.
Toute la question juridique est donc de savoir si le consentement allégué par Facebook existe réellement. Est-ce qu’un internaute qui refuse de débourser 155 euros par an pour s’abonner consent librement à ce que ses données soient utilisées à des fins de publicité ciblée ?
Pour nous éclairer, il faut déjà relire le considérant 42 du RGPD qui précise que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice« . C’est dans cet esprit que la CNIL, fort logiquement, avait écrit dans ses lignes directrices du 4 juillet 2019 que « le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement« , et que « la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD« . Pour des raisons purement techniques de compétence juridique, le Conseil d’Etat avait invalidé ce point des lignes directrices, en exigeant que la CNIL fasse plutôt une analyse au cas par cas chaque fois qu’un éditeur de site obligerait l’internaute à accepter des cookies pour accéder au site, ou à payer pour ne pas subir de cookies ou d’autres dispositifs de profilage.
Dans des « premiers critères d’évaluation » publiés en mai 2022, la CNIL a donc dévoilé quelques principes censés éclairer sa future jurisprudence (famélique actuellement). Parmi eux, il est dit que l’éditeur qui demande une acceptation du profilage publicitaire pour accéder au service doit proposer « une alternative réelle et équitable« , ou démontrer qu’il existe une telle alternative accessible ailleurs. Plus il est difficile de trouver les mêmes contenus ailleurs, moins il est acceptable de conditionner l’accès à l’acceptation d’un traitement de données personnelles.
Or, parmi tous ceux qui cliquent sur le bouton qui permet d’accéder gratuitement à Facebook en échange de publicités ciblées, combien sont ceux qui le font non pas de pleine grâce mais parce que sinon, et sauf à pouvoir payer, ils ne pourraient plus voir les nouvelles photos partagées par leur famille, être tenus informés de l’actualité de leur club de leur sport, parler dans leur groupe des voisins du quartier, etc. ? Facebook, qui compte 3 milliards d’utilisateurs dans le monde dont plus de 75% des internautes français, est une plateforme de mise en relation sociale quasi incontournable dans la vie quotidienne de beaucoup de Français, et se priver de cet accès crée un préjudice social important.
La seule « alternative réelle » proposée par Meta est donc l’abonnement payant, à 13 euros par mois pour chaque plateforme (ou 10 euros si l’on évite de passer par l’intermédiaire d’une application mobile). Mais à ce prix, est-ce une alternative « équitable » ?
Dans une décision du 4 juillet 2023, toujours contre Meta, la Cour de justice de l’Union européenne avait utilisé les mots de « rémunération appropriée« , sans dire bien sûr quel montant serait approprié ou non. De son côté, la CNIL parle de tarif « raisonnable« , ce qui n’est pas plus précis. Là aussi, prévient-elle, « la détermination du tarif raisonnable dépend d’une analyse au cas par cas« . Elle écrit que « l’éditeur qui souhaite mettre en œuvre un paywall devra être en mesure de justifier du caractère raisonnable de la contrepartie monétaire proposée« , et elle demandait même que les éditeurs publient leur analyse, ce qu’évidemment Meta n’a pas fait.
Ce qui semble certain, c’est qu’au moins le prix demandé doit être en rapport direct avec le préjudice économique subi par l’éditeur lorsque l’internaute refuse de voir des publicités ciblées. Pourtant d’après les documents financiers officiels de Facebook, en Europe un utilisateur moyen rapporte à Meta autour de 18 dollars par trimestre, soit entre 5 et 6 euros par mois payés par les annonceurs. Avec 10 euros net par mois, ce n’est donc pas une compensation du préjudice financier que fait payer Meta à ceux qui refusent de voir des publicités mais près du double. Dans ces conditions, on peine à voir en quoi la somme serait raisonnable.
Par ailleurs, le fait de ne plus voir de publicités du tout est un choix de Meta. En principe, rien n’interdirait à Facebook ou Instagram de continuer à afficher d’autres types de publicités, qui ne seraient plus ciblées sur l’internaute qui les regarde mais plutôt contextuelles selon le contenu affiché sur la plateforme et/ou selon l’audience agrégée. Depuis des décennies les chaînes TV, stations radio ou journaux papier se financent avec de la publicité qui n’est pas personnalisée. Il faudrait donc calculer la part de gain supplémentaire permis par l’hyperpersonnalisation des publicités pour affiner le calcul du préjudice éventuel.
Tout cela fait que le prix exigé par Meta n’est certainement pas conforme au RGPD. Et il faut souhaiter qu’il soit sanctionné rapidement et avec force. Si on laisse faire Meta, c’est un principe fondamental de la protection des données en Europe qui tombe, et que malheureusement la décision de la CJUE du 4 juillet dernier a déjà participé à faire tomber : l’universalité des droits de l’homme.
En acceptant le principe d’une « rémunération appropriée » pour ne pas traquer l’internaute, la Cour de Justice a hélas permis que le bénéfice effectif d’un droit fondamental reconnu par la Charte des droits fondamentaux de l’Union européenne soit vendu et réservé aux plus fortunés, ou au moins démunis. Comment un bénéficiaire du RSA ou même un smicard peut-il se permettre de payer 150 euros par an pour utiliser Facebook « juste » pour ne pas être traqué ? Si l’on poursuit dans cette voie détestable, il y aura donc d’un côté ceux qui peuvent se permettre d’acheter leur droit à la protection de leur vie privée en se payant les abonnements qui ne manqueront pas de se multiplier (c’est déjà le cas), et toute la masse de ceux qui ont dû renoncer à leur droit fondamental. Vite, un sursaut éthique !
Retired - Retraité
1 ansDe mon point de vue, la vraie question est de savoir si toutes ces plateformes gratuites ne sont pas à bout de souffle et s'il ne faudrait pas qu'elles inventent un nouveau business model qui ne serait plus basé sur les données personnelles. Avec tous les génies qu'il y a dans la silicon valley... Ces plateformes prétendent offrir un service de relations sociales dont les utilisateurs ne peuvent plus se passer dans leur quotidien, mais leur objet social en tant que société n'est certainement pas de faire du social au sens de la solidarité, elles ne font pas dans la philanthropie ! La force de ces plateformes c'est de nous pousser à devenir addict.
Consultant RGPD, DPO Externe (certifié référentiel CNIL) -Freelance
1 ansPour apporter de l'eau au moulin, la CNIL a également indiqué que la position dominante ou non d'un organisme pouvait être un critère permettant d'évaluer ou non la conformité de ce nouveau procédé. Je laisse chacun juge de la position de Meta sur son cœur d'activité ;) Quant à l'autorité norvégienne, elle a déjà exprimé son scepticisme...
Conformité RGPD | DPO certifiée Afnor
1 ansExcellent, merci Guillaume
Avocat Associé Droit du Numérique / Data / Propriété intellectuelle (IP/IT)
1 ansDonc c’est plutôt trois alternatives et non deux que Meta devrait proposer. 1. Payer (sans pub) 2. Pubs non ciblées avec intérêt légitime comme base légale 3. Pubs ciblées avec cst comme base légale.
Trusted in a Zero Trust world
1 ansUn article tres intéressant pour moi , merci ! Il ne faudra plus longtemps pour que tous les services suivent cette approche et l'utilisateur lambda sera en train de jongler entre ses abonnements et/ou complètement fiché dans tous les domaines.