La Cour de justice de l’UE limite la rétention des données publicitaires de Meta

Le verdict est tombé. La Cour de justice de l'Union européenne (CJUE) vient de rendre une décision historique en matière de protection des données personnelles. Ce vendredi 4 octobre, la plus haute juridiction européenne a en effet statué en faveur d'une limitation de la durée de conservation des données utilisateurs par les réseaux sociaux tels que Facebook à des fins de ciblage publicitaire. Un coup dur pour le modèle économique de Meta, maison-mère de Facebook, Instagram et WhatsApp, qui tire l'essentiel de ses revenus de la publicité ultra-ciblée.

Une décision qui fera date

Saisi par un tribunal autrichien dans le cadre d'un litige initié par le militant de la vie privée Max Schrems, la CJUE a donc jugé que les géants du web ne peuvent pas conserver indéfiniment les données personnelles de leurs utilisateurs européens dans le but de leur servir des publicités personnalisées. Une pratique pourtant au cœur de leur modèle économique.

Selon la Cour, ces pratiques violent plusieurs principes fondamentaux du Règlement général sur la protection des données (RGPD), le fameux "GDPR" entré en vigueur en 2018. Notamment le principe de minimisation des données, qui veut que seules les informations strictement nécessaires soient collectées et conservées le temps requis pour remplir l'objectif initial.

Un réseau social en ligne tel que Facebook ne peut pas utiliser toutes les données à caractère personnel obtenues aux fins de la publicité ciblée, sans restriction dans le temps et sans distinction quant au type de données.

Extrait du communiqué de presse de la CJUE

Meta doit revoir ses pratiques

Pour se conformer à cette décision, Meta et consorts vont devoir sérieusement revoir leurs pratiques en matière de collecte et de rétention de données. Un véritable casse-tête quand on sait à quel point leur modèle repose sur l'exploitation massive des données personnelles pour alimenter leurs algorithmes de ciblage publicitaire.

D'après un mémo interne de Meta révélé en 2022, l'entreprise comparait ses pratiques à "verser des bouteilles d'encre dans un vaste lac" de données, sans réel contrôle ni possibilité de compartimenter les différents types d'informations collectées ou d'y appliquer des durées de conservation. Des pratiques clairement incompatibles avec les exigences du RGPD.

Un risque financier majeur

Au-delà de l'aspect technique et opérationnel, c'est tout le modèle économique de Meta qui est remis en cause par cette décision. Le ciblage publicitaire ultra-précis basé sur les données est au cœur de sa rentabilité. Toute limitation pourrait donc avoir un impact significatif sur son chiffre d'affaires, dont environ 10% est généré dans l'UE selon des chiffres de 2022.

De plus, en cas de non-conformité, Meta s'expose à des amendes colossales pouvant atteindre 4% de son chiffre d'affaires mondial annuel, comme le prévoit le RGPD. Étant donné les sommes en jeu, la pression est forte pour se mettre rapidement en conformité.

Une victoire pour la vie privée

C'est en tout cas ainsi que Max Schrems, le militant autrichien à l'origine de la plainte contre Facebook, a accueilli la nouvelle. Celui qui avait déjà fait invalider le Privacy Shield, l'accord encadrant les transferts de données UE-USA, crie victoire :

Meta a essentiellement construit un énorme réservoir de données sur les utilisateurs depuis 20 ans maintenant, et il ne cesse de croître chaque jour. Cependant, le droit européen exige la "minimisation des données". Suite à cette décision, seule une petite partie des données de Meta pourra être utilisée pour la publicité, même lorsque les utilisateurs consentent aux publicités.

Katharina Raabe-Stuppnig, avocate de Max Schrems

Au-delà de Meta, c'est tout le secteur de la publicité en ligne qui pourrait être impacté, la décision s'appliquant à toute entreprise ne disposant pas de pratiques strictes en matière de suppression des données. Un véritable séisme à prévoir dans les prochains mois.

Et les données sensibles dans tout ça ?

La CJUE s'est également prononcée sur la question épineuse de l'utilisation des données dites sensibles (orientation sexuelle, opinions politiques, données de santé...) rendues "manifestement publiques" par les utilisateurs. Contrairement à ce que soutenait Meta, la Cour a jugé que même dans ce cas, ces données ne pouvaient être exploitées à des fins de ciblage publicitaire.

Une décision saluée par les défenseurs de la vie privée, qui craignaient un effet dissuasif sur la liberté d'expression si le simple fait d'évoquer publiquement ces sujets privait les citoyens de leur droit à la protection des données. Meta assure de son côté ne pas utiliser ces catégories spéciales de données pour personnaliser les publicités.

Et maintenant ?

Place désormais à la mise en conformité. Meta, qui dit prendre la confidentialité "très au sérieux", assure attendre de prendre connaissance de l'intégralité de la décision avant de se prononcer sur les prochaines étapes. Mais une chose est sûre : le géant des réseaux sociaux va devoir repenser en profondeur son modèle s'il veut continuer à opérer sereinement sur le Vieux Continent. L'heure des choix stratégiques a sonné.