gdpr Archives - STUDIO LEGALE

META: PAYER AVEC DE L’ARGENT OU AVEC DE DONNEES PERSONNELLES

Récemment, Meta a proposé aux utilisateurs de Facebook et d’Instagram le choix : payer en argent ou avec leurs données personnelles. Mais cela peut-il se faire n’importe comment ?

Cela revient de facto à payer en espèces ou à payer avec des données personnelles.

Le message qui est apparu sur les écrans des utilisateurs européens était clair : « Vous devez faire le choix de continuer à utiliser Facebook ». Le choix doit se faire entre :

S’abonner pour utiliser les plateformes sans publicité au tarif de 12,99 euros par mois ; ou
Utiliser gratuitement les plateformes avec des publicités.

Alors que META a déjà essayé dans le passé de s’appuyer sur diverses justifications pour utiliser les données personnelles à des fins commerciales, elle réessaye cette fois en justifiant le consentement[1].

Même si le nouveau choix proposé soit moins « radical », le problème est le même : même dans le cas du choix entre s’abonner ou accepter des publicités personnalisées, il ne peut y avoir de consentement libre, spécifique, éclairé et univoque[2].

Meta fonde cette « nouvelle approche » sur une phrase de l' »obiter dictum »[3] de l’arrêt C-252/21 de la CJUE qui stipule qu’une alternative à la publicité doit être fournie, si nécessaire moyennant une compensation appropriée[4].

Dans quelles conditions les données à caractère personnel peuvent-elles être traitées ?

Le traitement de données à caractère personnel n’est licite que si au moins l’une des conditions suivantes est remplie :

(a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

(b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

(d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

(e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

(f) le traitement est nécessaire aux fins des intérêts légitimes du responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Dans le cas du traitement de données à caractère personnel par META, seul le motif de légalité fondé sur le consentement de la personne concernée est admissible.

Cela a déjà été confirmé dans l’arrêt C-252/21 du 4 juillet 2023[5].

Ce qui suit explique plus en détail ce que signifie exactement « donner son consentement »[6] :

Le RGDP définit le consentement de la personne concernée comme suit : « toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair que des données à caractère personnel la concernant fassent l’objet d’un traitement ;

Librement donné

Tout d’abord, le consentement doit être donné librement. Cela signifie que la personne concernée doit avoir le choix et le contrôle de son choix.

Cela signifie que si la personne concernée n’a pas réellement le choix, par exemple parce que l’alternative aurait des conséquences négatives pour elle, le choix ne peut pas être donné librement.

Même si le consentement se présente sous la forme de conditions générales non négociables, le consentement n’est pas donné librement.

En outre, lors de l’évaluation du consentement libre, la (mauvaise) relation entre la personne concernée et le sous-traitant est prise en compte[7].

Spécifique

En outre, le consentement donné doit également être spécifique. Cela signifie que la personne concernée doit donner son consentement pour chaque élément du traitement de ses données à caractère personnel. Ainsi, si vos données à caractère personnel sont utilisées pour X, Y et Z, vous devrez donner votre consentement pour X, Y et Z séparément et X, Y et Z devront être explicitement décris.

Eclairé

Ensuite, le consentement doit également être donné de manière éclairée. Cela signifie que la personne concernée doit disposer d’informations suffisantes concernant le traitement de ses données à caractère personnel afin qu’il puisse faire un choix éclairé quant à l’octroi ou non de son consentement.

Univoque

Le consentement doit également être donné de manière univoque. Cela signifie que le consentement nécessite un acte ou une déclaration active et non équivoque de la part de la personne concernée.

Ainsi, un consentement implicite dû à l’inaction ou l’inactivité ne constituera jamais un consentement valide au sens de la législation RGDP.

Conditions supplémentaires

Enfin, un consentement valablement donné n’est pas éternel. D’une part, il doit être possible de retirer facilement le consentement donné[8]. En revanche, le consentement donné ne s’appliquera plus si l’activité de traitement change de manière significative.

Conclusion :

Dans ce cas particulier où Meta laisse à la personne concernée le « choix » entre autoriser l’utilisation de vos données personnelles à des fins de publicité personnalisée ou payer 12,99 euros par mois, cela ne peut, à notre avis, constituer un consentement donné librement. Non seulement le rapport entre Meta et la personne concernée, étant donné le monopole de META, mais aussi le fait que le paiement est la seule alternative, font que ce consentement n’est en aucun cas un consentement librement donné. De nombreuses personnes trouveront le prix de 12,99 euros trop cher et, en l’absence d’un autre canal de médias sociaux, seront donc contraintes de payer en données.

Ce consentement ne serait spécifique si META utilisait les données personnelles de la personne concernée uniquement à des fins de publicité personnalisée. Si, par exemple, des nouvelles spécifiques pouvaient également être poussées (comme c’était le cas dans la version avant que ce choix ne nous soit donné), ce consentement ne serait pas spécifique.

Il ne fait aucun doute que les spécialistes et les militants de la protection de la vie privée et du RGPD suivront de près l’évolution de la situation. Par exemple NOYB qui avec leurs plaintes ; ont été à l’origine du jugement contre META.

En outre, la question peut être soulevée de savoir comment et si ce paiement de données ne devrait pas être soumis à l’impôt.

Une autre question est de savoir si ce « choix » ne viole pas le droit d’accès (à un Internet neutre et ouvert), notamment en raison du monopole de META. D’autant plus que même la liste des biens insaisissables a été adaptée dans le sens où l’accès à Internet doit rester assuré et où les médias sociaux constituent un élément essentiel de l’utilisation d’Internet[9].

Il sera donc très intéressant de voir si et combien de temps cette nouvelle « solution » de META durera.

Pour plus d’informations sur le RGDP, veuillez contacter l’équipe de STUDIO|LEGALE à [email protected] ou au 03/216.70.70.

Sources Média :

TEMMERMAN, M., “Er is nu ook een betalende versie van Facebook en Instagram: wat verandert er precies voor jou?, https://www.nieuwsblad.be/cnt/dmf20231107_94708481.
VAN DER Aa, E., DéE, K. “Verwarring over melding op Facebook om te betalen: wat verandert er?, https://www.hln.be/tech/verwarring-over-melding-op-facebook-om-te-betalen-wat-verandert-er~a769bde8/.
SIOEN, L., Facebook en Instagram riskeren Europees verbod op gepersonaliseerde reclame: https://www.standaard.be/cnt/dmf20231101_95282533.
CJEU declares Meta/Facebook’s GDPR approach largely illegal, https://noyb.eu/en/cjeu-declares-metafacebooks-gdpr-approach-largely-illegal.
Meta (facebook/Instagram) to move to a “Pay for your Rights” approach, https://noyb.eu/en/meta-facebook-instagram-move-pay-your-rights-approach.

Sources juridiques :

Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractères personnel et à la libre circulation de ces données.
VANDENBUSSCHE, D., Wat is geldige toestemming volgend de GDPR?.
29 Data protection working party, Guidelines on consent under Regulation 2016/679.
CJUE 4 juillet 2023, C-252/21- META Platforms and Others;
Court of Justice of the European Union, “Press release n° 113/23.

[1] CJEU declares Meta/Facebook’s GDPR approach largely illegal, https://noyb.eu/en/cjeu-declares-metafacebooks-gdpr-approach-largely-illegal; art. 6(1)B RGDP art. 6(1)F RGDP

[2] Art. 4, 11 RGDP

[3] Raisonnement non contraignant d’une décision de justice.

[4] Meta (facebook/Instagram) to move to a “Pay for your Rights” approach, https://noyb.eu/en/meta-facebook-instagram-move-pay-your-rights-approach

[5] CJUE 4 juillet 2023, C-252/21- META Platforms and Others; Court of Justice of the European Union, “Press release n° 113/23.

[6] D., VANDENBUSSCHE, “Wat is geldige toestemming volgens de GDPR?”

[7] Art. 29 Data protection working party, Guidelines on consent under Regulation 2016/679.

[8] Art. 7 RGDP

[9] Art. 1408 Code judiciaire

Les données biométriques sont de plus en plus utilisées à toutes sortes de fins. Pensez à scanner l’empreinte digitale d’un employé pour accéder à un immeuble de bureaux[1] ou, plus encore, à scanner des visages pour suivre leur comportement d’achat[2]. Bien sûr, il s’agit d’opérations de traitement de grande envergure qui ne peuvent pas simplement être effectuées dans le cadre du RGPD. C’est pourquoi nous expliquons ce qui, selon l’Autorité de protection des données, doit être respecté pour traiter correctement les données biométriques.

Quoi ?

Tout d’abord, il y a lieu de définir ce que sont exactement les données biométriques. Le RGPD définit ce terme à l’art. 4.14 comme suit :

Données biométriques : “les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.”

Par les deux exemples à la fin, le RGPD énumère également immédiatement les formes de données biométriques les plus connues et les plus compréhensibles, à savoir les images faciales et les données dactyloscopiques.

Le RGPD divise les données biométriques en deux catégories :

Caractéristiques physiques, ou également corporelles ;
Caractéristiques liées au comportement

Les caractéristiques physiques sont très simples. Ce sont les caractéristiques physiques ou physiologiques d’une personne, telles que les informations faciales, reconnaissance de l’iris, les empreintes digitales …

Gedragsgerelateerde kenmerken zijn moeilijker te omschrijven. De technologie staat niet stil waardoor dit in de toekomst waarschijnlijk beter uitgewerkt en vaker van toepassing zal zijn.

Een reeds bestaand voorbeeld hiervan is de identificatie aan de hand van het unieke stappatroon van personen.

Les caractéristiques comportementales sont plus difficiles à définir. La technologie n’est pas figée, il est probable qu’elle soit plus élaborée et davantage appliquée à l’avenir.

Un exemple déjà existant est l’identification d’un individu en fonction de la manière dont il se déplace.

Comment ?

Traitement

Les données biométriques sont traitées en deux phases différentes, à savoir la phase de collecte et la phase de comparaison.

Les phases de collecte se composent de deux parties

La première phase de collecte : il s’agit d’enregistrer des informations de référence (par exemple, une empreinte digitale). Ces informations sont converties en un modèle. Ce modèle garantit que les données traitées à l’avenir pourront être vérifiées par rapport aux informations de référence.
La deuxième phase de collecte : les données sont traitées et comparées au modèle. Si elles correspondent, le système estime qu’il s’agit de la même personne que celle pour laquelle les informations de référence ont été traitées (par exemple, l’empreinte digitale correspond à celle du système).

La deuxième phase est la phase de comparaison. Les informations collectées sont comparées à toutes les informations biométriques disponibles dans le système. De cette façon, l’utilisateur peut être identifié parmi toutes les personnes enregistrées.

Stockage des données

Il existe trois façons de stocker des informations biométriques :

Type 1: Gestion du modèle par la personne concernée elle-même. La personne concernée stocke le modèle dans un endroit où il n’y a aucune possibilité d’interface avec d’autres systèmes informatiques. Il peut s’agir, par exemple, d’un badge d’accès à un bâtiment. C’est la méthode de travail à utiliser par principe. Il ne peut être dérogé à cette règle que dans des cas très exceptionnels.
Type 2: Gestion partagée. Il existe une base de données centrale de modèles qui est gérée par le responsable du traitement des données sans le consentement de la personne concernée.
Type 3: Gestion exclusive par le responsable de traitement. Il s’agit de l’option la plus ambitieuse. Elle exige donc le respect des conditions les plus strictes.

Base juridique

Pour le traitement des données biométriques, il est important que, comme pour tout traitement, il existe une base juridique sur laquelle les données sont traitées.

En pratique, la base juridique sera généralement le consentement explicite de la personne concernée. Il est ici très important que le consentement soit donné librement, spécifiquement, en connaissance de cause et sans équivoque.

In uitzonderlijke gevallen zal de rechtsgrond het zwaarwegend algemeen belang zijn. Dit dient echter zeer restrictief toegepast te worden. Enkel wanneer het gebruik van biometrische gegevens onvermijdelijk is, zal er hiervan sprake kunnen zijn indien dit bij wet voorzien wordt.

Dans des cas exceptionnels, la base juridique sera l’importance de l’intérêt public. Toutefois, cette disposition devrait être appliquée de manière très restrictive. Ce n’est que lorsque l’utilisation de données biométriques est inévitable que cela sera possible, pour autant que la loi le prévoit.

Généralités

Comme pour tout traitement, les questions générales suivantes sont également importantes :

Limitation de la finalité ;
Proportionalité ;
Sécurité ;
Limitation de stockage ;
Obligation de transparence ;
analyse d’impact relative à la protection desdonnées.

Analyse d’impact relative à la protection des données

In geval er sprake is van een verwerking van biometrische gegevens met oog op de unieke identificatie van personen in een privéruimte die toegankelijk is voor het publiek of in een openbare ruimte, zal er steeds een gegevensbeschermingseffectbeoordeling moeten worden uitgevoerd. Het is dan ook aangeraden, gelet op het inherente risico voor de rechten en vrijheden van de betrokkenen dat komt kijken bij het verwerken van biometrische gegevens om een gegevenseffectenberschermingsbeoordeling uit te voeren omdat het uitlaten hiervan slechts in uitzonderlijke gevallen gerechtvaardigd zal zijn.[3]

En cas de traitement de données biométriques visant à identifier de manière unique des personnes dans un espace privé accessible au public ou dans un espace public, une analyse d’impact relative à la protection des données devra toujours être réalisée. Il est donc recommandé, compte tenu du risque inhérent au traitement des données biométriques pour les droits et libertés des personnes concernées, de procéder à une analyse d’impact relative à la protection des données, car sa réalisation ne sera justifiée que dans des cas exceptionnels.

Conclusion

Le traitement des données biométriques devra donc toujours être conforme aux règles de protection du RGPD.

Si, après avoir lu cet article, vous avez des questions concernant le traitement des données biométriques, ou le traitement des données personnelles en général, veuillez nous contacter à l’adresse [email protected]ou au numéro 03 216 70 70.

Sources utilisées

Sources juridiques :

Règlement (UE) 2016/679 du 27 avril 2016 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Recommandation de l’Autorité de protection des données sur le traitement des données biométriques ;
Décision 01/2019 van 16 janvier 2019 de l’Autorité de protection des données.

Articles :

J. , CARDINAELS, “Privacywaakhond dreigt met onderzoek naar Carrefour”, https://www.tijd.be/ondernemen/retail/privacywaakhond-dreigt-met-onderzoek-naar-carrefour/10198789.html.

[1] Autorité de la protection des données, “Boete voor bedrijf voor verwerken vingerafdrukken werknemers, 30 april 2020, https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers.

[2] X., “Face Recognition ini retail”, https://www.raydiant.com/blog/everything-about-facial-recognition-in-retail

[3] Point 6 de la décision ni. 01/2019 de l’Autorité de protection des données ; Recommendations de l’Autorité de protection des données sur le traitement des données biométriques, 36-37,

https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.01-2021-van-1-december-2021.pdf