par Dans le dernier coup porté à l’activité de ciblage publicitaire comportemental sans consentement de Meta en Europe, un tribunal néerlandais a conclu que la filiale irlandaise du géant des médias sociaux n’avait pas de base légale pour traiter les données des utilisateurs locaux à des fins de ciblage publicitaire.
Le groupe néerlandais de défense de la vie privée, la Data Privacy Foundation (DPS), ainsi qu’une organisation locale à but non lucratif de protection des consommateurs, Consumentenbond, ont intenté une action contre la société anciennement connue sous le nom de Facebook en 2019 – arguant que le service de réseau social était en violation de l’UE règles de protection des données en n’obtenant pas l’autorisation des utilisateurs pour traiter leurs données à des fins de ciblage publicitaire et exhortant local les utilisateurs à se joindre à l’action demandant un recours collectif pour les violations de la vie privée de Facebook sous la forme d’une indemnisation.
Facebook s’est battu pour bloquer le procès pour des raisons de procédure. Mais en juillet 2021, le tribunal de district d’Amsterdam a décidé que cela pouvait se poursuivre et l’audience a eu lieu plus tard dans l’année. Et dans une décision rendue aujourd’hui, le tribunal a conclu que Facebook Ireland avait enfreint la loi sur la protection de la vie privée en traitant les données personnelles des utilisateurs néerlandais de Facebook à des fins publicitaires sans base légale appropriée (telle que le consentement) – entre le 1er avril 2010 et le 1er janvier 2020 ( une coupure liée à un changement du régime juridique local pour ce type de litige ; et non à des changements dans la façon dont Meta traite les données des personnes).
De plus, le tribunal a estimé que la société n’avait pas correctement informé les utilisateurs ou n’avait pas de base légale valable pour transmettre leurs informations à des tiers.
“Facebook Ireland a traité des données personnelles à des fins publicitaires sans une base juridiquement valable – comme le consentement – pour le faire”, écrit le tribunal dans un communiqué de presse. [which we’ve translated from Dutch with machine translation]. « Il n’y avait pas non plus de base juridiquement valable pour traiter des catégories particulières de données personnelles à des fins publicitaires, telles que des informations sur les préférences sexuelles ou la religion des personnes. Cela concernait à la fois les données personnelles fournies par les utilisateurs eux-mêmes et les données personnelles de catégorie spéciale obtenues par Facebook Ireland en suivant le comportement de navigation des utilisateurs de Facebook en dehors du service Facebook.
“De plus, Facebook Ireland n’a pas suffisamment informé les utilisateurs de Facebook du partage de leurs données personnelles avec un certain nombre de tiers. Cela impliquait de partager non seulement les données personnelles des utilisateurs de Facebook eux-mêmes, mais également les données personnelles de leurs amis Facebook.
Le tribunal a également conclu que les actions de Facebook constituaient une pratique commerciale déloyale – affirmant que la société n’avait pas suffisamment informé les utilisateurs de ses utilisations commerciales de leurs données (qu’elle a qualifiées de trompeuses), écrivant dans la décision [which, again, we’ve translated into English] que : “Le consommateur moyen n’a pas été en mesure de prendre une décision éclairée concernant sa participation au service Facebook.”
La Cour n’a pas été d’accord avec les plaignants sur un argument secondaire – lié à la légalité de la collecte de données via des cookies de suivi tiers. Ici, les juges ont accepté l’argument de Facebook selon lequel la responsabilité de recueillir le consentement pour ce type de suivi incombe à l’opérateur/administrateur du site Web respectif qui installe le logiciel fourni par Facebook Ireland. (Cependant, cet aspect de la publicité de surveillance est également sous un nuage juridique dans l’UE.)
Mais la conclusion fondamentale selon laquelle il n’a pas de base légale pour son ciblage comportemental est un gros problème.
Meta a été contacté pour un commentaire mais au moment de la rédaction, il n’avait pas répondu. Mise à jour: La société a maintenant répondu, confirmant qu’elle ferait appel – voir ci-dessous pour sa déclaration.
Un porte-parole de la Consumentenbond nous a dit qu’il était ravi de la décision – la qualifiant de «révolutionnaire». « Nous sommes très satisfaits du jugement. Le tribunal se prononce durement sur Facebook. Et la Cour a déclaré que Facebook n’aurait pas dû utiliser les données de tous ces millions d’utilisateurs aux Pays-Bas à des fins publicitaires », a-t-il déclaré.
Le porte-parole a suggéré que le nombre d’utilisateurs néerlandais touchés par la violation de la loi par Meta est d’environ 10 millions (soit plus de la moitié des quelque 17 millions de personnes qui vivent dans le pays). Au cours de la phase initiale du litige, il a déclaré qu’ils avaient enregistré environ 190 000 inscriptions – mais toute personne ayant un compte Facebook pendant la période concernée peut toujours s’inscrire, de sorte que le nombre pourrait augmenter considérablement si davantage d’utilisateurs concernés se connectent à l’action. . (Le site Web de plainte dispose d’un formulaire permettant aux utilisateurs de s’inscrire pour rejoindre la demande d’indemnisation.)
“C’est un jugement révolutionnaire qui envoie un signal très fort, non seulement à Facebook lui-même, mais également aux autres entreprises technologiques qui violent la législation sur la protection de la vie privée. Et il dit que les violations ne restent pas impunies. C’est donc un message très fort », a-t-il ajouté, décrivant également la conclusion supplémentaire du tribunal selon laquelle Facebook a induit les consommateurs en erreur en retenant des informations cruciales comme une autre « très, très grande victoire ».
Alors que la décision rendue aujourd’hui par le tribunal d’Amsterdam est ce que l’on appelle une « déclaration des droits » – essentiellement, les justiciables ont demandé au tribunal de se prononcer sur la question de savoir si Facebook avait enfreint la loi – ils ont intenté l’action avec l’intention d’obtenir une compensation de Meta pour avoir violé les droits des personnes. confidentialité. Alors maintenant, ils ont la déclaration que leur attention se tournera pour faire cracher Facebook.
Soit en l’amenant à accepter un règlement d’indemnisation – soit par d’autres litiges devant les tribunaux.
Dans un communiqué commentant la décision, Dick Bouma, président du DPS, a déclaré :
Avec cette décision, les consommateurs peuvent enfin recevoir une compensation pour les années de violation de la vie privée par Facebook. C’est maintenant à Facebook de fournir cela. À cette fin, avec Consumentenbond, nous voulons en discuter avec l’entreprise.
Cela signifie qu’il n’est pas encore clair combien (ou même quand) Meta devra payer pour cette dernière découverte de violation de la vie privée.
Le litige de type recours collectif est financé par le cabinet d’avocats américain Lieff Cabraser Heimann & Bernstein, LLP, sur une base “sans gain, sans frais” – ce qui permet aux groupes à but non lucratif de réclamer des dommages-intérêts au nom de Facebook concerné utilisateurs.
Le cœur de l’affaire des groupes est une plainte de très longue date en vertu du droit de l’UE – parfois surnommée «consentement forcé» – qui a finalement conduit à l’application par le principal régulateur de la protection des données de Meta dans l’UE au début de l’année. Y compris des amendes qui font la une des journaux.
Cependant le géant de la technologie fait appel des ordonnances rendues par la Commission irlandaise de protection des données en janvier – et n’a toujours pas changé son fonctionnement dans la région, bien que les autorités de protection des données du bloc aient conclu que son traitement par ciblage publicitaire était illégal. Donc, pour l’instant, il s’agit toujours d’un suivi et d’un profilage enfreignant la loi, comme d’habitude sur Facebook dans l’UE.
Mais avec – à partir d’aujourd’hui – une décision de justice qui a également conclu que le traitement des publicités de Meta était illégal, cela n’augure rien de bon pour son appel contre le fond de l’ordonnance du DPC.
La décision néerlandaise est également susceptible d’encourager davantage de litiges régionaux en matière de confidentialité concernant le suivi sans consentement de Meta.
D’autres poursuites judiciaires sont également en cours aux Pays-Bas : La plainte DPS-Consumentenbond met en évidence un autre problème juridique (en cours) pour Facebook dans l’UE – lié au fait que Meta continue d’exporter les données des citoyens vers les États-Unis – un endroit où la plus haute cour du bloc a précédemment jugé qu’il pourrait être menacé par le gouvernement espionnage.
Une décision finale sur la suspension des transferts de données UE-États-Unis de Meta reste également en attente du DPC irlandais. Mais le Consumentenbond n’attend pas – et son porte-parole nous a dit qu’il déposera bientôt une nouvelle action axée sur cette question – demandant également une indemnisation pour les atteintes à la vie privée.
“Nous voulons également que les gens souscrivent à notre demande et nous rejoignent – et nous obtiendrons une compensation pour eux concernant le transfert de données vers les États-Unis”, a-t-il ajouté.
Une chose semble donc claire : les factures de la longue histoire d’hostilité à la vie privée de Facebook devraient continuer à atterrir.
Mise à jour: Un porte-parole de Meta a maintenant envoyé cette déclaration :
Nous sommes heureux que la Cour ait statué en faveur de Meta pour plusieurs de ces réclamations historiques, dont certaines ont eu lieu il y a plus de dix ans. Nous avons l’intention de faire appel d’autres aspects de cette affaire. Nous savons que la confidentialité est importante pour nos utilisateurs néerlandais et nous voulons qu’ils aient le contrôle sur la façon dont leurs données sont utilisées. C’est pourquoi nous avons créé des outils tels que Privacy Check-up et Privacy Basics, où nous expliquons quelles données ils ont partagées et quels paramètres ils peuvent utiliser pour les contrôler.
