La Cour de justice de l'UE a tranché : Meta ne peut plus utiliser sans limites les données personnelles de ses utilisateurs pour la publicité ciblée sur Facebook. Cette décision historique fait suite à une plainte de longue date du militant autrichien Max Schrems.
Mark Zuckerberg doit avoir les oreilles qui sifflent. Le 4 octobre, la plus haute juridiction européenne a infligé un véritable coup de massue à Meta en restreignant drastiquement sa capacité à exploiter les données personnelles des utilisateurs de Facebook à des fins publicitaires.
Fin des émissions de variété donc, où les géants de la tech pouvaient piocher sans vergogne dans nos informations les plus intimes pour nous bombarder de pubs ultra ciblées. Désormais, le principe de « minimisation des données » inscrit dans le RGPD s'applique, et Meta va devoir revoir de fond en comble ses pratiques.
Un militant obstiné fait plier le géant
Cette victoire contre Meta, c'est en grande partie à Max Schrems qu'on la doit. Cet avocat autrichien spécialiste de la protection des données mène depuis 2011 un combat acharné contre Facebook, qu'il accuse de bafouer la vie privée de ses utilisateurs. En 2014, il dépose une plainte contre le réseau social, estimant avoir été ciblé par des publicités en fonction de son orientation sexuelle. Une information sensible qu'il n'avait jamais partagée sur la plateforme, mais que Meta aurait déduite en analysant son activité en ligne.
Dix ans plus tard, la CJUE lui donne raison sur toute la ligne. Dans son arrêt, elle estime que Facebook ne peut pas utiliser « toutes les données personnelles obtenues à des fins de publicité ciblée, sans restriction de temps et sans distinction de type de données ». Une gifle pour Meta, qui se targue pourtant d'avoir investi des milliards dans la protection de la vie privée. La Cour va même plus loin en précisant que le consentement de l'utilisateur ne suffit pas à justifier une utilisation illimitée de ses données personnelles.
La fin du Far West numérique ?
L'association de Max Schrems, NOYB (None of Your Business), jubile. Pour elle qui veille à ce que soient respectés nos données personnelles et notre consentement, cette décision « restreint radicalement l'utilisation des données personnelles à des fins publicitaires » et s'applique à « toute autre société de publicité en ligne qui n'a pas de pratiques strictes en matière de suppression de données ». De quoi faire trembler tout le secteur de la pub en ligne.
Meta, de son côté, fait profil bas. Le géant américain assure ne pas utiliser de « catégories spéciales de données » fournies par les utilisateurs pour personnaliser les publicités. Mais la CJUE ne l'entend pas de cette oreille et exige que l'entreprise mette en place des protocoles stricts de gestion et de suppression des données. Il semble bien révolu, le temps où les informations personnelles étaient stockées indéfiniment dans un vaste « pool de données ».
Cette décision pourrait bien marquer un tournant dans la régulation des géants du numérique en Europe. Reste à voir comment Meta va s'adapter à ces nouvelles contraintes sans trop écorner son modèle économique.
Sources : The Hacker News, Cour de justice de l'Union européenne, NOYB, Reuters
…
