Publicité ciblée : la CJUE fixe des limites dans le temps pour l’utilisation des données personnelles
Selon un rendu de la Cour de justice de l’Union européenne (CJUE) du vendredi 4 octobre, les données personnelles collectées par les réseaux sociaux pour cibler des publicités ne pourront plus être utilisées indéfiniment.
Selon un arrêt de la Cour de justice de l’Union européenne (CJUE) publié vendredi 4 octobre, les données personnelles collectées par les réseaux sociaux pour cibler des publicités ne pourront plus être utilisées indéfiniment.
L’activiste et avocat Max Schrems avait déposé une plainte auprès d’un tribunal autrichien en 2020, arguant que Meta — anciennement Facebook — ne respectait pas les principes de « minimisation des données » et de « limitation de la finalité » établis par le règlement général sur la protection des données (RGPD) de l’UE dans le cadre du traitement des données à des fins de publicités personnalisées.
La plainte avait été portée devant la CJUE en 2021.
« Un réseau social en ligne tel que Facebook ne peut utiliser l’ensemble des données à caractère personnel obtenues à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de leur nature », note la CJUE dans son communiqué de presse.
« Meta a construit un énorme pool de données sur ses utilisateurs depuis 20 ans », affirme Katharina Raabe-Stuppnig, l’avocate représentant Max Schrems, dans un communiqué publié vendredi par l’ONG de défense des droits numériques Noyb (None of your business), fondée par Max Schems.
« Pourtant, la législation européenne exige la ‘minimisation des données’. À la suite de cette décision, seule une petite partie des données de Meta pourra être utilisée à des fins publicitaires », se réjouit-elle.
Cette décision était attendue car « les individus ont le droit de ne pas être hantés par leurs données passées », réagit Özer Zivali, avocat spécialisé dans la protection de la vie privée au sein du cabinet néerlandais Van Doorne, sur LinkedIn.
Meta « a investi plus de cinq milliards d’euros pour intégrer la protection de la vie privée » dans ses produits tels que Facebook ou Instagram, explique de son côté un porte-parole de l’entreprise à Euractiv.
Les données publiques ne constituent pas un consentement au traitement
Dans cette affaire, Max Schrems a également contesté la mesure dans laquelle Meta adhèrerait au principe de « limitation de la finalité » lors du traitement de données sensibles.
L’activiste a notamment contesté l’utilisation de données publiques sur l’orientation sexuelle à des fins publicitaires. En février 2019, il avait évoqué son orientation sexuelle lors d’une table ronde diffusée en ligne. Bien que ce dernier et Meta s’accordent sur le fait que les informations relatives à son orientation sexuelle ont été « manifestement rendues publiques », ces données sensibles utilisées à des fins publicitaires sont soumises aux protections prévues par le RGPD.
La CJUE a statué vendredi qu’une déclaration publique « n’autorise pas l’opérateur d’une plateforme de réseau social en ligne à traiter [ces données] ».
L’arrêt de la CJUE « peut également être très pertinent pour l’entraînement de l’IA », ajoute Noyb dans un communiqué.
« Des entreprises telles que Meta, X [anciennement Twitter] ou OpenAI [derrière ChatGPT] ont simplement récupéré des données Internet ou des données d’utilisateurs et les ont utilisées pour entraîner des modèles d’IA, même si ce n’était pas l’objectif initial », affirme Noyb.
En avril 2024, l’avocat Athanasios Rantos avait indiqué à la CJUE qu’une déclaration publique sur l’orientation sexuelle d’une personne ne permettait pas, en soi, le traitement de ces données sensibles.
Max Schrems a donné son nom aux arrêts Schrems I et Schrems II rendus par la CJUE en 2015 et 2020 et qui ont invalidé les accords de transfert de données entre l’UE et les États-Unis, la sphère de sécurité et le cadre du Bouclier de protection des données.
[Édité par Anne-Sophie Gayet & Laurent Geslin]
