RGPD et publicité comportementale : le CEPD répond aux préoccupations de l’UE
Nouvel élément dans la guerre entre l’UE et les GAMAM. Le CEPD prend position sur les décisions rendues par la Data Protection Commission, après plusieurs plaintes des autorités de contrôle européennes (dont la CNIL). Entre publicité comportementale, réseaux sociaux et changement de base légale, on vous explique tout ça dans cet article !
Sommaire :
Mais d’abord, c’est quoi la DPC ?
La Data Protection Commission, l’autorité irlandaise de protection des données est l’autorité chef de file parmi les autorités de contrôle européenne, en vertu de l’article 56 du RGPD sur les traitements réalisés par les GAMAM.
En effet, l’Irlande est également le siège social européen de nombreuses entreprises, notamment des GAMAM.
GAMAM : C’est l’appellation attribuée aux 5 géants de la tech américains : Google, Amazon, Meta, Apple, Microsoft.
En vertu de cette compétence, cette autorité prend les décisions en matière de transferts transfrontaliers et est l’interlocuteur unique des sous-traitants. Les décisions rendues par l’autorité chef de file constituent une interprétation commune des autorités européennes.
Des doutes sur l’objectivité de la DPC concrétisés :
La Data Protection Commission a déjà rendu de nombreuses décisions concernant les GAMAM. De nombreuses décisions qui n’ont pas fait l’unanimité… ONG, autorités et médias ont su manifester par leurs propres moyens leurs doutes quant à l’objectivité de l’autorité irlandaise.
Au coeur du débat : le choix de la base légale concernant la publicité comportementale
Mais c’est dans un cas particulier, à la suite de nombreuses plaintes,que la DPC a dû trancher : Facebook, Instagram et Whatsapp peuvent-ils utiliser la base légale du contrat pour justifier leur publicité comportementale et les traitements visant l’amélioration de service ?
C’est en réponse à cette question que le débat s’est enflammé. Alors que la DPC rendait des projets de décision encourageant cette position, la CNIL et d’autres homologues européens ont émis quant à eux des objections. Selon ces opposants, le contrat ne peut pas valablement constituer une base légale pour la publicité comportementale et un traitement visant l’amélioration de service.
Ces traitements doivent être opérés sur la base du consentement. La CNIL et les autres homologues européens critiquent la position prise par l’autorité irlandaise, justifiant l’intervention du CEPD.
Le désaccord ainsi exprimé, le CEPD a été amené à se prononcer sur la question.
Le CEPD est le comité européen à la protection des données. Successeur du G29, il est le garant d’une application cohérente et harmonieuse du RGPD. Il adopte des lignes directrices et des avis afin de faciliter la compréhension et l’application du RGPD. Il dispose également de décisions contraignantes pour trancher les différends entre les différentes autorités de contrôle.
Historique et procédure :
Ce n’est pas la première fois que des autorités européennes de protection des données questionnent les décisions prises par la Data Protection Commission. Pour certains, l’autorité manque d’objectivité. Ces doutes se sont renforcés lorsque le CEPD a demandé, après plaintes des autorités allemandes, autrichiennes et italiennes, à la DPC de réévaluer le montant de l’amende imposée à Twitter.
En 2020, l’autorité irlandaise avait condamné Twitter à une amende jugée trop peu dissuasive par les autres autorités. Après avis du CEPD, l’amende est passée d’un montant estimé entre $150,000 – $300,000 à €450,000. Lien des décisions : Décision du 9 décembre 2020, DPC, Twitter International Company et Decision 01/2020 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Twitter International Company under Article 65(1)(a) GDPR
En d’autres termes, c’est peut être la fin du règne de l’autorité irlandaise. Les doutes sur l’objectivité de la DPC se sont concrétisés, justifiant une autre intervention, cette fois-ci plus concrète du CEPD. Bien que les autorités de contrôles soient indépendantes, la DPC de par son rôle de chef de file joue un rôle capital sur l’interprétation du RGPD.
La décision de la DPC, après avis du CEPD :
Le CEPD a avisé la DPC de son avis sur la question dès décembre 2022. Cependant, l’issue du débat ne pouvait être révélée avant que la DPC notifie sa décision aux principaux concernés et en fasse la publication.
Le 4 janvier 2023, la DPC a (enfin) publié sa décision ; et confirme les soupçons des autres autorités : non, la base légale du contrat ne peut permettre la publicité comportementale.
De gros changements à venir pour les réseaux sociaux !
Une affirmation, résultat d’une réflexion complexe, qui implique de nombreux changements pour les opérateurs et plateformes de réseaux sociaux ! En effet, le traitement relatif à la publicité comportementale doit être, comme tous les autres traitements effectués selon le RGPD, fondés sur une base légale. L’utilisation de la base légale d’intérêt légitime ayant été exclue pour la prospection commerciale (article 21.2 du RGPD), et le contrat étant désormais exclu, les réseaux sociaux devront changer leur politique et fonder la publicité comportementale sur la base du consentement de l’utilisateur.
Si l’utilisateur pouvait ne pas avoir conscience de faire l’objet de publicité comportementale, la nécessité du consentement change complètement la donne. Le consentement requiert des conditions de clarté et d’intelligibilité pour être valide, comme l’indique l’article 7 du RGPD.
Plus que jamais, les autorités de contrôle veillent au respect du RGPD, et l’heure est aux sanctions dissuasives ! En conclusion, il est urgent de se conformer au RGPD afin de protéger les données personnelles et éviter des conséquences juridiques et financières graves. Besoin d’aide pour organiser votre conformité RGPD ? Consultez notre article : Le DPO Obligatoire ? Comment trouver le vôtre ? Externe ou interne ?
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Articles de loi RGPD
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Le DPO ou Data Protection Officer – Délégué à la Protection des Données en français (DPD) conseille et accompagne les organismes dans leur processus de mise en conformité RGPD. Dans certains cas, sa désignation est obligatoire, au risque de sanctions (jusqu’à 2% du CA annuel !).
Il n’existe pas de profil type du DPO. Le DPO peut être un juriste, avocat, informaticien… Il doit cependant être expert du RGPD et bien connaître son secteur d’activité. Il existe également des DPO certifiés.
Pour désigner le DPO le plus adapté, il faut étudier son domaine d’activité et d’expertise. Il faut également vérifier sa disponibilité, et enfin son expérience dans la fonction.
Un DPO externe peut manquer d’information sur l’entreprise, ce qui peut l’empêcher d’exercer correctement sa fonction. Il peut également exister des conflits d’intérêt avec d’autres entreprises. Enfin, le manque de disponibilité et d’implication peuvent freiner le processus de conformité RGPD.
Le coût d’un DPO externe prend en compte plusieurs facteurs : son modèle de facturation (forfait ou temps passé), son niveau d’expertise et de compétences, et les besoins de l’entreprise.
