1 points par GN⁺ 2024-01-12 | 1 commentaires | Partager sur WhatsApp
  • noyb estime que Meta enfreint l’exigence du RGPD selon laquelle « le retrait du consentement doit être aussi simple que son octroi », en imposant aux utilisateurs qui veulent retirer leur consentement au suivi sur Facebook et Instagram de passer à un abonnement payant
  • Depuis début novembre 2023, les utilisateurs qui ne veulent pas être suivis doivent payer des « privacy fees » pouvant aller jusqu’à 251,88 € par an ; sinon, ils doivent accepter le suivi pour la publicité personnalisée
  • Le consentement peut être donné en un clic sur le bouton « Okay », mais son retrait oblige à passer par plusieurs fenêtres et bannières pour trouver la page d’abonnement payant
  • noyb avait déjà déposé en novembre 2023 une plainte contre l’étape de consentement « pay or okay » de Meta ; cette fois, l’organisation conteste séparément la procédure de retrait du consentement auprès de la DSB autrichienne
  • noyb demande que Meta fournisse un moyen gratuit et simple de retrait, et qu’une amende soit envisagée pour empêcher de nouvelles violations du RGPD

Le « pay or okay » de Meta et le retrait payant

  • Depuis début novembre 2023, les utilisateurs de Facebook et Instagram qui ne veulent pas être suivis doivent choisir un abonnement payant pouvant aller jusqu’à 251,88 € par an
  • S’ils ne paient pas, ils doivent accepter le suivi à des fins de publicité personnalisée ; noyb considère donc qu’il s’agit d’un mécanisme qui fait payer l’option la plus respectueuse de la vie privée
  • noyb avait déjà déposé en novembre 2023 une plainte concernant l’approche « pay or okay » de Meta au sujet de l’étape de consentement
  • La nouvelle plainte se concentre sur la situation où un utilisateur, après avoir une première fois consenti au suivi, souhaite ensuite retirer ce consentement

L’article 7 du RGPD et la procédure devant la DSB autrichienne

  • L’article 7 du RGPD prévoit que la procédure de retrait du consentement doit être aussi simple que celle permettant de le donner
  • Dans le système actuel de Meta, le consentement se donne en un clic, tandis que le retrait impose l’achat d’un abonnement payant et un parcours complexe entre plusieurs écrans
    • La plaignante a dû traverser plusieurs fenêtres et bannières pour trouver la véritable page de retrait
    • L’avocat de noyb spécialisé en protection des données, Massimiliano Gelmi, a déclaré qu’un système imposant de payer 251,88 € par an n’est pas aussi simple qu’un clic sur le bouton « Okay »
  • Les lignes directrices de l’European Data Protection Board (EDPB) citent les coûts financiers comme exemple de charge incompatible avec les principes de l’article 7 du RGPD
  • noyb a déposé une plainte auprès de l’autorité autrichienne de protection des données, la DSB, au nom d’une plaignante
    • L’organisation demande que la DSB ordonne à Meta de mettre ses opérations de traitement en conformité avec le droit européen de la protection des données
    • Elle demande aussi que les utilisateurs puissent retirer leur consentement facilement et sans frais
    • Elle propose également l’imposition d’une amende afin d’éviter de nouvelles violations du RGPD
  • L’affaire pourrait être transmise à la DPC irlandaise, l’« autorité chef de file » de Meta dans l’UE

1 commentaires

 
GN⁺ 2024-01-12
Réactions sur Hacker News
  • Évidemment. Avec les bannières de cookies en ce moment, quand on clique sur Save settings, impossible de savoir ce qui se passe réellement
    On a l’impression qu’il y a quelque part une case cachée qui autorise tout, et que la longue liste de pop-ups sert juste à nous rassurer alors qu’on peut toujours être pisté
    Ils ont déjà inventé des choses comme les « cookies nécessaires à des fins marketing », et ensuite on a eu droit aux pop-ups du genre « acceptez le suivi publicitaire ou payez »

    • Les paramètres de confidentialité de Reddit étaient similaires la dernière fois que j’ai regardé. Je décochais tout, puis en revenant certaines options restaient désactivées et d’autres non. Impossible de savoir
  • J’aime vraiment beaucoup NOYB, et j’aimerais que ceux qui le peuvent leur fassent un don régulier. Ils font un travail qui a un vrai impact sur la protection de la vie privée

    • C’est étonnant qu’une question aussi importante repose en pratique sur une seule personne parmi plus de 300 millions de gens
    • Ont-ils déjà dit quelque chose sur TikTok ? En cherchant, j’ai l’impression qu’il n’y a rien
  • Que Meta trouve des moyens de gagner de l’argent en contournant la loi, et parfois en l’enfreignant discrètement, c’est parfaitement compréhensible
    En revanche, le fait que l’infraction révélée ici soit aussi massive et aussi flagrante est assez surprenant
    Je m’attendais plutôt à une méthode plus subtile, du genre redemander « par erreur » les préférences de cookies chaque fois que l’utilisateur se sert du site jusqu’à ce qu’il finisse par accepter, puis ne plus jamais le redemander
    Comme ça, en cas d’enquête, ils auraient facilement pu dire que c’était un bug lié au fait que le refus des cookies était lui-même stocké dans un cookie

    • Tant qu’enfreindre massivement la loi reste plus rentable, Facebook continuera. Les autres entreprises aussi, d’ailleurs, puisque les amendes ou les sanctions symboliques ne servent à rien, donc inutile même de le cacher
      Le jour où on commencera à envoyer des PDG ou des actionnaires en prison, on verra à quelle vitesse ils se mettront à respecter la loi
  • Si le DPC en a juridiquement la possibilité, il devrait infliger l’amende maximale dès maintenant. Meta a montré de façon assez claire qu’il fera tout pour contourner ces lois, par des violations répétées et délibérées
    S’il s’agissait d’un ancien acteur du marché qui gérait mal ses obligations GDPR et finissait en infraction après avoir acheté une solution douteuse de « gestion de conformité », je pourrais comprendre une application plus légère, façon tape sur les doigts
    Mais Meta est visé par l’application du GDPR depuis ses débuts, comprend manifestement très bien les règles, a essayé de les contourner dès le départ, et on peut même dire que c’est précisément pour des entreprises comme celle-là que cette réglementation existe
    À ce stade, j’aimerais voir s’accumuler des amendes de 4 % du chiffre d’affaires mondial

    • Le DPC est corrompu et ne veut pas infliger l’amende maximale. Il a été extrêmement indulgent avec Facebook alors qu’il pouvait imposer des sanctions bien plus lourdes
  • Depuis cet ultimatum, je n’ai pas touché à Instagram
    J’espère tenir bon. Si j’avais vraiment eu une raison impérative de l’utiliser, ç’aurait probablement été seulement pour contacter des gens dont les coordonnées ne sont disponibles que là-bas

    • Moi aussi, j’ai raté une réunion de Noël avec de vieux amis à cause de Facebook :/
      Mais le fait que les personnes présentes aient effectivement « reproché » à l’organisateur de n’avoir lancé l’invitation que sur Facebook, je le vois comme un signe très positif que la culture évolue lentement
      Ce n’était pas dans un sens négatif, plutôt du genre : « qu’est-ce que tu attendais en invitant uniquement via Facebook ? »
  • Je soutiens ce genre d’initiative et, personnellement, je préfère payer pour un service plutôt que d’être le produit. Mais je crains que ce ne soit pas une opinion très populaire
    Les gens n’ont pas envie de payer, du moins pas consciemment. Je suis curieux de voir comment ça va évoluer

    • Le cliché « payer pour un service au lieu d’être le produit » ne tient plus. On peut même se demander s’il a déjà été vrai, et plus on le répète, plus cela aide surtout les pires contrevenants
      Même en payant, vous pouvez rester le produit. Il suffit de regarder les services de streaming payants qui affichent quand même de la publicité, ou les téléviseurs physiques achetés qui renvoient au fabricant vos habitudes d’usage
      Le fait de payer ne garantit pas qu’une entreprise vous respecte, vous ou vos données personnelles
    • Même quand on paie, on est toujours le produit. Tant que c’est légal et rentable, et peut-être même si c’est illégal, on sera toujours le produit
    • Les données personnelles des utilisateurs payants ont encore plus de valeur que celles des utilisateurs non payants ;)
    • Le fait que les gens ne veuillent pas payer est assez récent. Payer pour avoir un numéro de téléphone, c’était normal, et payer en plus pour passer un appel aussi
      Il était aussi courant de payer pour des services téléphoniques donnant l’heure ou la météo, et il était normal de payer pour une adresse e-mail. Aujourd’hui encore, la plupart des gens paient leur connexion Internet
      Le vrai problème est plutôt que les gens n’aiment pas qu’un service passe du « gratuit » au payant. Si la plupart devaient payer pour un service, ils finiraient par le considérer comme la norme
      Par exemple, si le GPS n’avait jamais été gratuit au départ, les gens auraient probablement volontiers payé plus de 1 dollar par mois
    • Les gens paient volontiers pour des espaces sociaux comme les maisons de quartier, les bibliothèques, les salles de sport ou les clubs. Mais seulement si le prix reste raisonnable
      En général, le prix est raisonnable précisément parce que le club n’essaie pas de croître jusqu’à dominer le monde. C’est un espace de taille à peu près fixe, et l’abonnement sert à l’entretenir
      Le coût d’exploitation de la plupart des réseaux sociaux n’est que d’environ 1 dollar par an, pas par mois [1]. Pourtant, les entreprises de réseaux sociaux veulent facturer 50 à 100 dollars par an
      Les gens ne sont pas idiots. Pourquoi paieraient-ils plus de 2 dollars par an ?
      [1] https://news.ycombinator.com/item?id=38291427
  • Pour rééquilibrer les choses, Facebook devrait être contraint de verser 251,88 € par an à chaque utilisateur ayant donné son consentement. Si les données portant atteinte à la vie privée la plus élémentaire valent autant pour Facebook, ce serait équitable

  • Raisonnement intéressant. Je me demande comment ce serait traité si Facebook créait à la place une tarification à deux niveaux, et que les deux étaient payants
    Autrement dit, il faudrait payer un tarif de base pour utiliser Facebook tout en étant suivi, et payer un tarif premium pour supprimer ce suivi
    En laissant de côté les problèmes éthiques évidents d’une telle structure, la condition selon laquelle « retirer son consentement doit être aussi facile que le donner » semble devoir rester valable même dans ce cas
    Sur le plan éthique, je considère qu’il ne devrait pas y avoir de place, dans un monde post-GDPR, pour le fait de payer pour sa vie privée. Je soutiens le GDPR, et le fait que plusieurs autorités de protection des données aient laissé passer cela chez des journaux locaux est honteux
    Si Facebook adoptait cette approche, il y a de fortes chances que cela finisse devant la CJUE, et ce pourrait être le pire résultat possible pour eux. La CJUE n’apprécie pas du tout les pseudo-arguments des GAFAM qui « respectent la lettre mais trahissent l’esprit »
    Personnellement, je ne serais pas surpris que la CJUE finisse par faire tomber cette approche comme contraire au GDPR

    • L’idée que la condition « retirer son consentement doit être aussi facile que le donner » resterait valable est discutable. Si le tarif de base est de 1 euro et le premium de 1 million d’euros, peu de gens peuvent se permettre le second
      Que ce soit 25 euros, 10 euros ou moins, dès qu’il y a une différence de prix, l’un n’est plus aussi facile que l’autre
    • Est-ce payer pour la vie privée, ou payer avec sa vie privée ?
    • Quelqu’un peut-il expliquer ce que signifient ces sigles ? Je connais le GDPR, mais les autres me sont inconnus
  • Meta a raté le fait que la réparation qu’ils proposent n’a pas besoin d’être une solution facile. Ils se sont creusé leur propre tombe

    • Si l’amende reste inférieure à ce qu’ils gagnent en vendant la vie des utilisateurs à n’importe qui, pourquoi s’en soucieraient-ils
  • https://web.archive.org/web/20240111074148if_/https://noyb.e...