Meta, maison mère de Facebook, Instagram et Whatsup, se voit rappeler qu’il lui est interdit toute publicité en Europe qui soit basée sur le comportement de ses utilisateurs et qui repose sur la base juridique du contrat et de l’intérêt légitime.
Une injonction de l’EDPB en charge du RGPD pour l’Europe
L’injonction vient de l’EDPB (European Data Protection Board). « Il est grand temps pour Meta de mettre ses traitements en conformité et de mettre un terme aux traitements illégaux» déclare Anu Talus, Présidente de l’EDPB. Anu Talus est la présidente de l’EDPB élue le 25 mai 2023 à ses fonctions. Elle est d’autre part dirigeante de l’autorité finlandaise de protection des données. L’EDPB, appelé CEPD en français, est le Comité européen de la protection des données chargé de l’application du RGPD en Europe. Il réunit les autorités nationales de protection des données, dont la Cnil française.
Un nouvel agenda a été enclenché par l’EDPB afin que Meta se conforme aux demandes de l’Europe. En date du 27 octobre, l’EDPB dans une décision publiée le 1er novembre, a adopté une décision contraignante urgente ordonnant à l’autorité irlandaise en tant qu’autorité de contrôle principale d’interdire, dans un délai de deux semaines, à Meta le traitement de données personnelles à des fins de publicité comportementale sur les bases juridiques du contrat et de l’intérêt légitime dans l’ensemble de l’Espace économique européen (EEE).
Depuis décembre 2022, Meta sait qu’il ne peut plus utiliser la base juridique du contrat
« Après un examen attentif, l’EDPB a jugé nécessaire de demander à l’IE SA [NDLR : Irish Supervisory Authority] d’imposer une interdiction de traitement à l’échelle de l’EEE, adressée à Meta. Déjà en décembre 2022, les décisions contraignantes de l’EDPB ont précisé que le contrat ne constitue pas une base juridique appropriée pour le traitement des données personnelles effectué par Meta à des fins de publicité comportementale » rappelle Anu Talus. « En outre, Meta a été jugée par l’IE SA comme n’ayant pas démontré son respect des ordonnances imposées à la fin de l’année dernière » ajoute-t-elle.
La décision de l’EDPB fait suite à une demande de l’Autorité norvégienne de protection des données de prendre des mesures définitives qui auraient un effet dans l’ensemble de l’Espace économique européen (EEE). L’interdiction de traitement des données personnelles des utilisateurs européens deviendra effective une semaine après la notification par l’Autorité irlandaises des mesures définitives au contrôleur. L’Autorité irlandaise a informé Meta le 31 octobre de la décision contraignante urgente de l’EDPB.
L’Autorité irlandaise à la manoeuvre
L’EDPB prend note de la proposition de Meta de s’appuyer sur une approche basée sur le consentement comme base juridique, comme cela a été rapporté le 30 octobre. L’Autorité irlandaise évalue actuellement cette question en collaboration avec les autorités de surveillance concernées.
