Abonnements payants de Facebook et Instagram en Europe : Meta se heurte aux exigences du RGPD

Pour Instagram ou Facebook sans publicités, il en coûte désormais aux Européens 9,99 euros par mois sur le Web et même 12,99 euros sur application mobile. C’est cher payé pour ne plus être ciblé dans sa vie privée. Et le consentement « libre » des utilisateurs exigé par le RGPD est-il respecté ?

(Cet article juridique a été publié dans EM@ n°312 du 18 décembre 2023. Le 11 janvier 2024, l’organisation Noyb a annoncé avoir déposé plainte contre Meta)

Par Vanessa Bouchara (photo), cabinet Bouchara Avocats

Cinq ans après l’entrée en vigueur du règlement général européen sur la protection des données (RGPD), l’entreprise américaine Meta Platforms a mis un place un système d’abonnement qui apparaît comme susceptible de rassurer les utilisateurs désireux d’échapper à la publicité, notamment ciblée. Pourtant, cet abonnement soulève un certain nombre d’interrogations sur la portée et l’effectivité de la protection des données personnelles en Europe. Pendant des années, Facebook affichait fièrement sur sa page d’accueil sa gratuité : « C’est gratuit (et ça le sera toujours) ». En 2019, la mention disparaissait dans le sillage des déclarations plus nuancées de son cofondateur Mark Zuckerberg qui, auditionné devant le Congrès américain, affirmait « qu’il y aurait toujours une version gratuite de Facebook ». Quatre ans plus tard, en novembre 2023, le groupe Meta propose, en parallèle d’une version gratuite, un abonnement payant pour ses services Instagram et Facebook, à 9,99 ou 12,99 euros, pour ses utilisateurs européens.

A la recherche d’une base légale adéquate
La mise en place de cet abonnement pourrait être une réponse aux résultats financiers décevants de Meta en 2022. En effet, le groupe de Menlo Park avait enregistré pour la première fois une baisse de son chiffre d’affaires (1). Or, il semblerait qu’il ne s’agisse pas d’une réponse strictement financière. En effet, il pourrait également s’agir de répondre au contexte normatif relatif aux géants du numérique, qui est en pleine ébullition à l’échelle européenne. Digital Markets Act (DMA), Digital Services Act (DSA), AI Act (AIA), futur Digital Networks Act (DNA), … En vigueur ou en discussion, ces nouveaux textes feraient presque oublier le RGPD, sa portée, et les sanctions infligées à ce titre à Meta, à hauteur d’environ 2,4 milliards d’euros à ce jour. La maison mère de Facebook et Instagram ne s’explique pas vraiment sur sa décision d’instaurer un abonnement, si ce n’est par un bandeau informatif à destination de ses utilisateurs européens, en évoquant un « changement de lois » le contraignant à proposer un Continuer la lecture

Le « Big 19 » en Europe se voit contraint de renforcer sa régulation de l’Internet

Alibaba/AliExpress, Amazon Store, Apple/AppStore, Booking, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando, Bing et Google Search : ce sont les « très grands régulateurs » du Net en Europe.

Le règlement européen sur les services numériques (1) a prévu de les identifier ; la Commission européenne les a listés. Ce sont les « très grandes plateformes en ligne », au nombre de dix-sept, et les « très grands moteurs de recherche en ligne », au nombre de deux. Ce « Big 19 », du moins à ce stade puisque la liste sera actualisée tous les six mois, devra se conformer dans un délai de quatre mois – à savoir d’ici fin août 2023 – à l’ensemble des nouvelles obligations cumulatives découlant du Digital Services Act (DSA).

2 « VLOP » européens : Booking et Zalendo
La première liste de ces « Very large Online Platforms (VLOP) en Europe, a été publiée le 25 avril dernier par la vice-présidente Margrethe Vestager (photo) et le commissaire Thierry Breton (2). Parmi ce « Big 19 », l’américain Google – la filiale du géant Alphabet – compte à lui seul cinq plateformes (Google Play, Google Search, YouTube, Google Maps et Google Shopping), tandis que son compatriote Meta en compte deux (Facebook et Instagram). Autre américain, Microsoft est présent aussi avec deux plateformes (Bing et LinkedIn). Les dix autres de la liste – avec cette fois une seule plateforme chacun – sont les américains Amazon Store, Apple/AppStore, Pinterest, Snapchat, TikTok, Twitter et Wikipedia, le chinois Alibaba avec AliExpress, ainsi que les européens Booking, et Zalando. Ces deux dernières plateformes – le néerlandais Booking, et l’allemand Zalando – sont à ce stade les deux seuls grands acteurs du Net émanant de l’Union européenne.
Les Etats-Unis, eux, sont surreprésentés avec pas moins de seize plateformes sur les dix-neuf. Tous ont en commun de cumuler « au moins 45 millions d’utilisateurs actifs par mois » dans les Vingt-sept, soit 10 % de la population européenne qui est de 446,7 millions au dernier recensement (3). Le « Big 19 » se retrouve ainsi avec le plus d’« obligations cumulatives », soit une vingtaine, par rapport aux autres acteurs du Net moins fréquentés que sont les « services intermédiaires », les « services d’hébergement » et les « plateformes en ligne » (voir page suivante). Les VLOP – dans lesquels nous incluons les deux « VLOSE » (4) que sont, dans le jargon de Bruxelles, les moteurs de recherche Google (Alphabet) et Bing (Microsoft) – sont tenus de :
redonner la main à leurs utilisateurs (consentir aux recommandations et au profilage, lesquels doivent pouvoir signaler des contenus illicites, exclure les données sensibles pour le ciblage publicitaire, être informé sur le caractère publicitaire des messages, avoir un résumer clair des conditions générales d’utilisation, etc.).
protéger les mineurs en ligne (protection de la vie privée, interdiction de faire du profilage publicitaire sur les enfants, fournir une évaluation des risques et des effets négatifs sur la santé mentale, revoir la conception de la plateforme pour limiter les risques, etc.).
modérer plus rapidement les contenus et limiter les fake news (éviter les contenus illicites et les effets négatifs sur la liberté d’expression et d’information, faire respecter plus rapidement les conditions générales d’utilisation, permettre aux utilisateurs de signaler les contenus illicites et y répondre rapidement, identifier les risques et les atténuer, etc.).
rendre des comptes (se soumettre à un audit externe et indépendant d’évaluation des risques et du respect des obligations européennes, permettre aux chercheurs d’accéder aux données publiques, rendre public le registre de toutes les publicités, publier des rapports de transparence sur les décisions de modération des contenus et la gestion des risques, etc.).
Alors que la Commission européenne a désormais le pouvoir de « surveiller les plateformes et les moteurs de recherche » considérés comme « très grands », avec la collaboration d’« autorités nationales » que chaque Etat membre devra désigner d’ici le 17 février 2024, le « Big 19 », lui, joue un rôle d’auto-régulation pour la part d’Internet les concernant. Cette régulation en cascade – publique-privée – instaurée par le DSA va accroître la pression réglementaire sur le Web en général et l’Internet mobile en particulier.

Effets et biais : algorithmes sous surveillance
Concernant la « gestion de risques » par les VLOP, la Commission européenne a annoncé le 17 avril le lancement du Centre européen pour la transparence des algorithmes (CETA) (5), afin de veiller à ce que les systèmes algorithmiques soient conformes aux obligations du règlement sur les services numériques (6). Objectifs : atténuer leurs effets et éviter les biais. @

Charles de Laubier

La division fintech de Meta porte le nom de Meta Financial Technologies depuis un an, et après ?

Il y a un, le Français Stéphane Kasriel annonçait sur son compte Twitter que la division fintech qu’il dirige au sein de l’ex-groupe Facebook abandonnait son nom provisoire Novi pour s’appeler Meta Financial Technologies. Malgré l’échec de Diem, une monnaie virtuelle reste à l’étude.

Stéphane Kasriel (photo) est entré dans le groupe Facebook en Californie en août 2020, à l’époque où la division des technologies financières (fintech) de la firme de Menlo Park s’appelait encore Facebook Financial (F2) que dirigeait alors le Suisse franco-américain David Marcus (ancien président de PayPal). Le Français Stéphane Kasriel est recruté pour diriger une équipe d’ingénieurs au sein de cette entité F2 qui gère tous les services financiers du géant des réseaux sociaux, notamment le portefeuille numérique Novi, les systèmes de e-paiement WhatsApp Pay ou Facebook Pay, ainsi que les transferts d’argent transfrontaliers via NoviTransferts.

Après l’échec de Diem, des tokens pour payer
Jusqu’au jour où David Marcus annonce sur Twitter, le 28octobre 2021 et juste après le changement de nom du groupe Facebook en Meta Platforms, que la branche F2 prend le nouveau nom de Novi (1), lequel nom est déjà celui du portefeuille virtuel (anciennement Calibra) qui devait être lancé avant fin 2021 pour permettre à leurs détenteurs de pouvoir y mettre des cryptomonnaies – y compris ce qui devait être la future monnaie numérique Diem indexée sur le dollars et initiée par la firme de Mark Zuckerberg au sein de l’association également dénommée Diem (ex-Libra). Mais confrontés à des obstacles réglementaires et politiques aux Etats-Unis (où tout ce qui pourrait déstabiliser le sacro-saint dollars est exclu), le projet Novi et la crypto Diem (bien que cette dernière soit «stablecoin» et arrimée à l’US dollar) se retrouvent au point mort au grand dam de David Marcus. Celui-ci annonce le 30 novembre 2021 son départ de Meta. « Je demeure toujours aussi passionné par la nécessité de changer nos systèmes de paiement et nos systèmes financiers », dira-t-il dans son tweet (2).
En janvier 2022, Le Wall Street Journal et le Washington Post révèlent l’abandon par Meta de Diem, dont les actifs ont été cédés à la banque californienne Silvergate, celle-là même – ironie de l’histoire – qui a fait faillite en mars dernier après le crypto-krach du second semestre 2022 et surtout la banqueroute retentissante de la plateforme de cryto-exchange FTX. David Marcus était aussi membre du bureau de l’association Diem, ex-Libra, laquelle avait embarqué dans son projet plusieurs entreprises parmi lesquelles la maison mère de Free, Iliad, Spotify ou encore Uber. Le « frenchie » Stéphane Kasriel succède en novembre 2021 à David Marcus à la tête de Novi, dont il annoncera le 8 mars 2022 le changement de nom pour, cette fois, Meta Financial Technologies. « Nous avons changé le nom de notre groupe de produits [Novi] en Meta Financial Technologies. Lorsque [le groupe Facebook] s’est rebaptisé, il ne s’agissait pas seulement d’adopter un nouveau nom. Il s’agissait d’embrasser notre vision de l’avenir. Il est donc normal que nous adoptions un nouveau nom pour notre activité fintech au moment où nous construisons le métavers », avait tweeté, il y a donc un peu plus d’un an maintenant (3), le nouveau directeur de Meta Financial Technologies – appelé aussi Meta FT.
C’est aussi il y a un an, le 8 avril 2022, que le Financial Times révèle le projet d’une cryptomonnaie appelée en interne « Zuck Buck » (composé du surnom de Mark Zuckerberg et de l’appellation du dollar en argot) pour être utilisée dans Facebook, Instagram et le métavers Horizon Worlds. Les « Zuck Bucks » désignaient dix ans auparavant les « Facebook Credits » utilisés comme monnaie virtuelle dans des jeux en ligne. Mais depuis, le métavers Horizon Worlds s’est transformé l’an dernier en « métaflop » (4) malgré les milliards de dollars investis par Meta. La crypto ZBUX (5) n’est pas sortie des limbes. Contactés par Edition Multimédi@, ni Stéphane Kasriel, le patron de Meta FT, ni Edward Bowles, son directeur des affaires publiques, ne nous ont répondu sur une éventuelle « metacrypto » post-Diem. Pour l’heure, Meta FT continue de travailler sur des tokens, des jetons sur le modèle des V-Bucks dans Fortnite (6) ou des Robux dans Roblox. « Pour l’instant, nous réduisons progressivement les collectibles numériques (NFT) afin de nous concentrer sur d’autres façons de soutenir les créateurs, les gens et les entreprises, a twitté Stéphane Kasriel le 13 mars dernier.

Monétiser les fans des créateurs et entreprises
« Cela reste une priorité de connecter les créateurs et les entreprises avec leurs fans et de les monétiser, afin d’avoir un impact à grande échelle, comme les messages et les opportunités de monétisation pour Reels [fonction de vidéos courtes lancée sur Instagram en 2020 pour concurrencer TikTok, ndlr] ». Mais le patron de Meta FT d’ajouter : « Nous continuerons d’investir dans les outils de fintech dont les gens et les entreprises auront besoin pour l’avenir. Nous simplifions les paiements avec Meta Pay, pour rendre les paiements et les versements plus faciles, tout en investissant dans les paiements par messagerie à travers Meta » (7) @

Charles de Laubier

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @