- noyb estime que Meta enfreint l’exigence du RGPD selon laquelle « le retrait du consentement doit être aussi simple que son octroi », en imposant aux utilisateurs qui veulent retirer leur consentement au suivi sur Facebook et Instagram de passer à un abonnement payant
- Depuis début novembre 2023, les utilisateurs qui ne veulent pas être suivis doivent payer des « privacy fees » pouvant aller jusqu’à 251,88 € par an ; sinon, ils doivent accepter le suivi pour la publicité personnalisée
- Le consentement peut être donné en un clic sur le bouton « Okay », mais son retrait oblige à passer par plusieurs fenêtres et bannières pour trouver la page d’abonnement payant
- noyb avait déjà déposé en novembre 2023 une plainte contre l’étape de consentement « pay or okay » de Meta ; cette fois, l’organisation conteste séparément la procédure de retrait du consentement auprès de la DSB autrichienne
- noyb demande que Meta fournisse un moyen gratuit et simple de retrait, et qu’une amende soit envisagée pour empêcher de nouvelles violations du RGPD
Le « pay or okay » de Meta et le retrait payant
- Depuis début novembre 2023, les utilisateurs de Facebook et Instagram qui ne veulent pas être suivis doivent choisir un abonnement payant pouvant aller jusqu’à 251,88 € par an
- S’ils ne paient pas, ils doivent accepter le suivi à des fins de publicité personnalisée ; noyb considère donc qu’il s’agit d’un mécanisme qui fait payer l’option la plus respectueuse de la vie privée
- noyb avait déjà déposé en novembre 2023 une plainte concernant l’approche « pay or okay » de Meta au sujet de l’étape de consentement
- La nouvelle plainte se concentre sur la situation où un utilisateur, après avoir une première fois consenti au suivi, souhaite ensuite retirer ce consentement
L’article 7 du RGPD et la procédure devant la DSB autrichienne
- L’article 7 du RGPD prévoit que la procédure de retrait du consentement doit être aussi simple que celle permettant de le donner
- Dans le système actuel de Meta, le consentement se donne en un clic, tandis que le retrait impose l’achat d’un abonnement payant et un parcours complexe entre plusieurs écrans
- La plaignante a dû traverser plusieurs fenêtres et bannières pour trouver la véritable page de retrait
- L’avocat de noyb spécialisé en protection des données, Massimiliano Gelmi, a déclaré qu’un système imposant de payer 251,88 € par an n’est pas aussi simple qu’un clic sur le bouton « Okay »
- Les lignes directrices de l’European Data Protection Board (EDPB) citent les coûts financiers comme exemple de charge incompatible avec les principes de l’article 7 du RGPD
- noyb a déposé une plainte auprès de l’autorité autrichienne de protection des données, la DSB, au nom d’une plaignante
- L’organisation demande que la DSB ordonne à Meta de mettre ses opérations de traitement en conformité avec le droit européen de la protection des données
- Elle demande aussi que les utilisateurs puissent retirer leur consentement facilement et sans frais
- Elle propose également l’imposition d’une amende afin d’éviter de nouvelles violations du RGPD
- L’affaire pourrait être transmise à la DPC irlandaise, l’« autorité chef de file » de Meta dans l’UE
1 commentaires
Réactions sur Hacker News
Évidemment. Avec les bannières de cookies en ce moment, quand on clique sur Save settings, impossible de savoir ce qui se passe réellement
On a l’impression qu’il y a quelque part une case cachée qui autorise tout, et que la longue liste de pop-ups sert juste à nous rassurer alors qu’on peut toujours être pisté
Ils ont déjà inventé des choses comme les « cookies nécessaires à des fins marketing », et ensuite on a eu droit aux pop-ups du genre « acceptez le suivi publicitaire ou payez »
J’aime vraiment beaucoup NOYB, et j’aimerais que ceux qui le peuvent leur fassent un don régulier. Ils font un travail qui a un vrai impact sur la protection de la vie privée
Que Meta trouve des moyens de gagner de l’argent en contournant la loi, et parfois en l’enfreignant discrètement, c’est parfaitement compréhensible
En revanche, le fait que l’infraction révélée ici soit aussi massive et aussi flagrante est assez surprenant
Je m’attendais plutôt à une méthode plus subtile, du genre redemander « par erreur » les préférences de cookies chaque fois que l’utilisateur se sert du site jusqu’à ce qu’il finisse par accepter, puis ne plus jamais le redemander
Comme ça, en cas d’enquête, ils auraient facilement pu dire que c’était un bug lié au fait que le refus des cookies était lui-même stocké dans un cookie
Le jour où on commencera à envoyer des PDG ou des actionnaires en prison, on verra à quelle vitesse ils se mettront à respecter la loi
Si le DPC en a juridiquement la possibilité, il devrait infliger l’amende maximale dès maintenant. Meta a montré de façon assez claire qu’il fera tout pour contourner ces lois, par des violations répétées et délibérées
S’il s’agissait d’un ancien acteur du marché qui gérait mal ses obligations GDPR et finissait en infraction après avoir acheté une solution douteuse de « gestion de conformité », je pourrais comprendre une application plus légère, façon tape sur les doigts
Mais Meta est visé par l’application du GDPR depuis ses débuts, comprend manifestement très bien les règles, a essayé de les contourner dès le départ, et on peut même dire que c’est précisément pour des entreprises comme celle-là que cette réglementation existe
À ce stade, j’aimerais voir s’accumuler des amendes de 4 % du chiffre d’affaires mondial
Depuis cet ultimatum, je n’ai pas touché à Instagram
J’espère tenir bon. Si j’avais vraiment eu une raison impérative de l’utiliser, ç’aurait probablement été seulement pour contacter des gens dont les coordonnées ne sont disponibles que là-bas
Mais le fait que les personnes présentes aient effectivement « reproché » à l’organisateur de n’avoir lancé l’invitation que sur Facebook, je le vois comme un signe très positif que la culture évolue lentement
Ce n’était pas dans un sens négatif, plutôt du genre : « qu’est-ce que tu attendais en invitant uniquement via Facebook ? »
Je soutiens ce genre d’initiative et, personnellement, je préfère payer pour un service plutôt que d’être le produit. Mais je crains que ce ne soit pas une opinion très populaire
Les gens n’ont pas envie de payer, du moins pas consciemment. Je suis curieux de voir comment ça va évoluer
Même en payant, vous pouvez rester le produit. Il suffit de regarder les services de streaming payants qui affichent quand même de la publicité, ou les téléviseurs physiques achetés qui renvoient au fabricant vos habitudes d’usage
Le fait de payer ne garantit pas qu’une entreprise vous respecte, vous ou vos données personnelles
Il était aussi courant de payer pour des services téléphoniques donnant l’heure ou la météo, et il était normal de payer pour une adresse e-mail. Aujourd’hui encore, la plupart des gens paient leur connexion Internet
Le vrai problème est plutôt que les gens n’aiment pas qu’un service passe du « gratuit » au payant. Si la plupart devaient payer pour un service, ils finiraient par le considérer comme la norme
Par exemple, si le GPS n’avait jamais été gratuit au départ, les gens auraient probablement volontiers payé plus de 1 dollar par mois
En général, le prix est raisonnable précisément parce que le club n’essaie pas de croître jusqu’à dominer le monde. C’est un espace de taille à peu près fixe, et l’abonnement sert à l’entretenir
Le coût d’exploitation de la plupart des réseaux sociaux n’est que d’environ 1 dollar par an, pas par mois [1]. Pourtant, les entreprises de réseaux sociaux veulent facturer 50 à 100 dollars par an
Les gens ne sont pas idiots. Pourquoi paieraient-ils plus de 2 dollars par an ?
[1] https://news.ycombinator.com/item?id=38291427
Pour rééquilibrer les choses, Facebook devrait être contraint de verser 251,88 € par an à chaque utilisateur ayant donné son consentement. Si les données portant atteinte à la vie privée la plus élémentaire valent autant pour Facebook, ce serait équitable
Raisonnement intéressant. Je me demande comment ce serait traité si Facebook créait à la place une tarification à deux niveaux, et que les deux étaient payants
Autrement dit, il faudrait payer un tarif de base pour utiliser Facebook tout en étant suivi, et payer un tarif premium pour supprimer ce suivi
En laissant de côté les problèmes éthiques évidents d’une telle structure, la condition selon laquelle « retirer son consentement doit être aussi facile que le donner » semble devoir rester valable même dans ce cas
Sur le plan éthique, je considère qu’il ne devrait pas y avoir de place, dans un monde post-GDPR, pour le fait de payer pour sa vie privée. Je soutiens le GDPR, et le fait que plusieurs autorités de protection des données aient laissé passer cela chez des journaux locaux est honteux
Si Facebook adoptait cette approche, il y a de fortes chances que cela finisse devant la CJUE, et ce pourrait être le pire résultat possible pour eux. La CJUE n’apprécie pas du tout les pseudo-arguments des GAFAM qui « respectent la lettre mais trahissent l’esprit »
Personnellement, je ne serais pas surpris que la CJUE finisse par faire tomber cette approche comme contraire au GDPR
Que ce soit 25 euros, 10 euros ou moins, dès qu’il y a une différence de prix, l’un n’est plus aussi facile que l’autre
Meta a raté le fait que la réparation qu’ils proposent n’a pas besoin d’être une solution facile. Ils se sont creusé leur propre tombe
https://web.archive.org/web/20240111074148if_/https://noyb.e...