Nouvelles régulations de l’usage des données personnelles par le DMA

Par un communiqué de presse du 1er juillet 2024, la Commission européenne a informé META que son modèle « payer ou consentir » est en contrariété avec le Digital Market Act (DMA).

A titre préliminaire, il convient de rappeler que le Digital Market Act (Règlement (UE) 2022/1925 du Parlement Européen et du Conseil du 14 septembre 2022) a vocation à rééquilibrer les relations entre les grandes plateformes qui contrôlent l’accès au marché du numérique et les entreprises utilisatrices.

Ces contrôleurs d’accès doivent se conformer aux obligations régies par le DMA depuis le 6 mars 2024.

META a mis en place le modèle « payer ou consentir » qui permet aux utilisateurs de l’UE sur les plateformes contrôlées par META (Facebook, Instagram et Whatsapp) de souscrire un abonnement afin d’utiliser les plateformes sans publicités. A défaut, les utilisateurs de la plateforme donnent leur consentement à ce que leurs données personnelles soient collectées afin de se voir proposer des publicités ciblées.

S’agissant de ce modèle mis en place par META, la Commission européenne a tiré la sonnette d’alarme en invitant META à se conformer au DMA, après l’ouverture d’une enquête le 25 mars 2024. En outre, le Commissaire chargé du marché intérieur, Thierry BRETON a affirmé « Notre avis préliminaire est que le modèle commercial « payer ou consentir » de Meta est en infraction avec le DMA. Ce dernier a pour but de redonner aux utilisateurs le pouvoir de décider de l’utilisation de leurs données et de veiller à ce que les entreprises innovantes puissent rivaliser sur un pied d’égalité avec les géants de la technologie en ce qui concerne l’accès aux données. »

Pour rappel, l’article 5 paragraphe 2 du DMA qui porte sur les obligations des Contrôleurs d’accès indique notamment :

« 2. Tout contrôleur d’accès est tenu de ne pas :

a) traiter, aux fins de la fourniture de services de publicité en ligne, les données à caractère personnel des utilisateurs finaux qui recourent à des services de tiers utilisant des services de plateforme essentiels fournis par le contrôleur d’accès;

b) combiner les données à caractère personnel provenant du service de plateforme essentiel concerné avec les données à caractère personnel provenant de tout autre service de plateforme essentiel ou de tout autre service fourni par le contrôleur d’accès, ni avec des données à caractère personnel provenant de services tiers;

c) utiliser de manière croisée les données à caractère personnel provenant du service de plateforme essentiel concerné dans le cadre d’autres services fournis séparément par le contrôleur d’accès, y compris d’autres services de plateforme essentiels, et inversement; et

d) inscrire les utilisateurs finaux à d’autres services du contrôleur d’accès dans le but de combiner des données à caractère personnel, à moins que ce choix précis ait été présenté à l’utilisateur final et que ce dernier ait donné son consentement au sens de l’article 4, point 11), et de l’article 7 du règlement (UE) 2016/679. »

Dans sa communication du 1er juillet 2024, la Commission indique qu’en vertu de cet article, les contrôleurs d’accès « doivent demander le consentement des utilisateurs pour combiner leurs données personnelles entre les services de la plateforme principale désignée et d’autres services, et si un utilisateur refuse ce consentement, il doit avoir accès à une alternative moins personnalisée mais équivalente. Les « gatekeepers » ne peuvent pas subordonner l’utilisation du service ou de certaines fonctionnalités au consentement de l’utilisateur ».

Par ailleurs l’article 4, 11) du Règlement (UE) 2016/679 défini le consentement comme :

« toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »

Or, dans ses conclusions préliminaires, la Commission européenne considère que les abonnements proposés par META ne sauraient être conformes car :

– Ils n’offrent pas la possibilité aux consommateurs d’opter pour un service qui utilise moins de données à caractère personnel, mais qui est par ailleurs équivalent au service basé sur les « annonces personnalisées ».

– Ils ne permettent pas aux utilisateurs d’exercer leur droit de consentir librement à la combinaison de leurs données personnelles.

Désormais, META dispose de la possibilité de répondre par écrit aux conclusions préliminaires de la Commission, avant que la Commission ne clôture son enquête le 25 mars 2025 prochain.

Dans l’hypothèse où la Commission confirme ses conclusions, META risquerait, conformément à l’article 30 du Règlement DMA, une amende pouvant atteindre 10 % de son chiffre d’affaires mondial, soit environ 13 milliards de dollars américains sur la base d’un chiffre d’affaires de 134 milliards de dollars.

En 2023 et s’agissant du respect du Règlement relatif à la protection des données personnelles, META a d’ores et déjà été condamné à une amende record de 1,2 milliards de dollars par la Data Protection Commission, l’autorité de contrôle irlandaise des données personnelles, en raison du transfert de données d’utilisateurs européens de Facebook vers des serveurs localisés aux États-Unis.