Arrêt de la CJUE sur la conservation des données personnelles : ce que cela change pour Facebook et les autres plateformes
"Un réseau social en ligne tel que Facebook ne peut pas utiliser l'ensemble des données à caractère personnelles obtenues à des fins de publicité ciblée, sans restriction dans le temps et sans distinction quant au type de données", indique la Cour de justice de l'Union européenne (CJUE) dans un communiqué expliquant l'essentiel de sa décision rendue publique ce vendredi 4 octobre. La CJUE avait été saisie par la justice autrichienne dans le cadre d'une affaire opposant le militant Maximilian Schrems, fondateur de Noyb, une association européenne de défense de la vie privée des utilisateurs en ligne, à Meta depuis 2014.
Dans son arrêt, la CJUE statue que l'utilisation de données à des fins publicitaires doit être "minimisée", c'est-à-dire limitée aux données "strictement nécessaires" comme l'indique l'article 5 du RGPD. "Tout l'intérêt de cet arrêt est de bien préciser que cette règle doit s'appliquer aux grandes plateformes qui ont par ailleurs des capacités de collecte de données personnelles démultipliées par leur présence un peu partout sur le web à travers leurs plug-ins, et donc une possibilité de les agréger et de révéler toujours plus sur notre vie privée", explique Alexandra Iteanu, l'avocate responsable du pôle RGPD et data du cabinet Iteanu Avocats.
Le souci en revanche, c'est que nulle part il n'est précisé ce que cela veut dire concrètement. Pour combien de temps Facebook ou toute autre plateforme peut conserver nos données ? Et quelles données peuvent être stockées ? Dans son arrêt, la CJUE indique que c'est aux juridictions nationales de déterminer les modalités d'application du principe de minimisation des données. "En France, la Cnil a publié des lignes directrices fixant des limites à la durée des traceurs publicitaires de mesure d'audience (13 mois), mais non spécifiquement pour les traceurs relevant de la publicité ciblée, qui eux restent soumis au consentement des visiteurs. La Cnil ne s'est pas prononcée sur la durée pendant laquelle les plateformes peuvent stocker des informations sur les internautes", poursuit la spécialiste. "Une telle décision pourrait inciter la Cnil à se prononcer sur ces modalités pratiques. De même, vu que le RGPD pose le principe d'une conservation de données limitée dans le temps, ces plateformes s'exposent à des amendes allant jusqu'à 4% de leur chiffre d'affaires ou 20 millions d'euros", conclut-elle optimiste.
Pour aider à cerner cette notion de limite dans le temps, qui n'est pas traduite de manière concrète par la législation, l'avocat général de la CJUE évoque une autre notion, celle d'"attente raisonnable des personnes" qui ont accepté de partager leurs données. "Quand on confie ses données personnelles à une plateforme, on peut s'attendre à ce que leur utilisation se fasse de manière limitée", explique Alexandra Iteanu.
Noyb se félicite de cette décision en indiquant que désormais "seule une petite partie des données de Meta" pourra être utilisée à des fins publicitaires, et cela même si les utilisateurs y consentent. "Cela fait maintenant 20 ans que Meta constitue un énorme réservoir de données sur les utilisateurs, qui ne cesse de s'accroître. Or, la législation européenne exige la 'minimisation des données'. Cette décision s'applique également à toute autre société de publicité en ligne qui n'a pas de pratique rigoureuse en matière de suppression des données", déclare Katharina Raabe-Stuppnig, l'avocate représentant Max Schrems.
Données sensibles versus déclarations publiques
Ce même arrêt porte un deuxième coup dur à Meta. Max Schrems conteste le fait de se voir afficher des publicités en lien avec son orientation sexuelle depuis des années. Le fait qu'il ait rendu public ses choix en la matière un jour n'autorise pas pour autant Facebook à opérer ce type de traitement en s'appuyant sur d'autres données (comme les données de comportement de navigation), sans compter toutes celles qui étaient bien antérieures au coming out de l'activiste. "Ce type de donnée sensible ne peut pas faire l'objet d'un traitement à de fins de publicité personnalisée. La seule exception, prévue dans le l'article 9(2) du RGPD, concerne la donnée sensible qui est rendue publique par la personne concernée. Certes, mais cela ne peut pas autoriser une plateforme à collecter toute autre donnée même si de même nature. C'est ce que nous confirme également cet arrêt de la CJUE", conclut Alexandra Iteanu.