Les points-clés :

• Le régulateur norvégien interdit temporairement la publicité comportementale sur Instagram et Facebook faute de consentement explicite de l'utilisateur.
• Meta change de base juridique pour le traitement des données personnelles et opte pour le "consentement de l'utilisateur" dans l'UE
• L'arrêt du suivi en ligne de l'activité des utilisateurs sera une tâche coûteuse et techniquement difficile pour Meta.
• Si la pression sur Meta augmente, on ne peut pas garantir qu'elle arrêtera ou limitera ses opérations dans l'UE.

Qu'est-ce qui c'est passé

Meta, le propriétaire de Facebook et d'Instagram, s'est retrouvé dans l'eau chaude en Norvège. Le 17 juillet, l'autorité norvégienne de protection des données a ordonné à Meta de cesser de montrer des publicités personnalisées à ses utilisateurs dans le pays en fonction de leur comportement en ligne. L'autorité a affirmé que Meta enfreignait la loi en surveillant et en profilant ses utilisateurs sans leur consentement explicite, et a imposé une interdiction temporaire de trois mois sur la publicité comportementale sur les deux plates-formes. L'interdiction spécifique à chaque pays prendra effet le 4 août et durera jusqu'en octobre. Meta est passible d'une amende journalière de 100 000 dollars si elle ne respecte pas l'interdiction ou ne modifie pas ses pratiques de collecte de données.

Mais qu'est-ce que la "publicité comportementale" ? Il s'agit d'un type de publicité qui utilise vos données personnelles pour vous montrer des publicités hautement pertinentes adaptées à vos intérêts et préférences. Meta collecte ces données en surveillant votre comportement en ligne, par exemple votre activité de navigation sur le web, vos publications sur les médias sociaux, votre historique de recherche, vos données d'utilisation d'applications et vos données de localisation. Le problème, c'est que toutes ces données sont collectées sans votre autorisation explicite, ce qui signifie que vous ne savez généralement pas comment vos données personnelles sont collectées et dans quel but.

Pourquoi la Norvège a-t-elle ciblé Meta maintenant ?

Pour un observateur non curieux, la décision de la DPA norvégienne de s'en prendre à la pratique publicitaire de longue date de Meta peut sembler tout à fait inattendue. Toutefois, le moment choisi n'est pas le fruit du hasard. L'ordonnance a été rendue à la suite d'une décision de la Cour de justice de l'Union européenne du 4 juillet, qui a déclaré que Meta ne peut pas invoquer les "intérêts légitimes " comme base juridique du traitement des données à des fins de publicité personnalisée.

Rien que cette année, Meta a changé plusieurs fois de base juridique pour le traitement des données des utilisateurs dans l'UE. Jusqu'en avril, Meta invoquait la "nécessité contractuelle" comme base juridique pour la collecte des données des utilisateurs. Après que le Comité européen de la protection des données (CEPD) a estimé que "la publicité n'est pas nécessaire à l'exécution d'un prétendu contrat avec les utilisateurs de Facebook et d'Instagram ", Meta a modifié la base juridique en "intérêts légitimes ", mais l'arrêt du 4 juillet a également mis un terme à cette pratique. À court d'options de contournement, le 1er août, Meta a de nouveau modifié la base juridique, cette fois-ci en la remplaçant par le "consentement de l'utilisateur ".

En théorie, cela implique que Meta devra demander directement aux utilisateurs de consentir à la publicité comportementale avant de collecter leurs données à cette fin. Le Wall Street Journal a rapporté que Meta a proposé aux régulateurs de l'UE de limiter les publicités comportementales strictement aux utilisateurs qui ont donné leur accord.

Toutefois, de nombreuses incertitudes subsistent quant à la manière dont Meta demandera exactement le consentement des utilisateurs et quant à l'existence éventuelle de schémas obscurs. En bref, il est peut-être trop tôt pour se réjouir.

La décision de Meta de modifier la base juridique de son traitement des données a déjà suscité la réaction de l'organisme norvégien de protection de la vie privée, qui y voit une victoire pour sa campagne contre le suivi en ligne. *Alors que Meta affirme qu'il s'agit d'un changement volontaire de leur part, cela semble très peu convaincant", a déclaré Tobias Judin, porte-parole de l'organisme norvégien de protection de la vie privée, à The Wired. Il a toutefois averti que Meta pourrait encore essayer de tromper les utilisateurs en les incitant à donner leur accord pour un tel suivi.

L'impact potentiel de l'embargo norvégien

La décision de la DPA norvégienne ne signifie pas que Meta ou Instagram sont interdits en Norvège. Elle ne signifie pas non plus qu'ils ne peuvent pas montrer des publicités personnalisées à leurs utilisateurs. Elle signifie que Meta doit respecter les choix et les préférences des utilisateurs en ce qui concerne l'utilisation et le partage de leurs données. Meta peut toujours cibler des publicités basées sur les informations que les utilisateurs partagent volontairement et en toute connaissance de cause, comme les détails de leur biographie, y compris leur âge, leur sexe, leur lieu de résidence ou leurs centres d'intérêt. Et si Meta peut prouver qu'elle a obtenu le consentement valable des utilisateurs pour collecter leurs données à des fins de publicité comportementale, elle peut également le faire.

Le régulateur norvégien a indiqué qu'il prévoyait de soulever la question auprès de l'EDBP après l'été. Le CEPD est un groupe d'autorités de protection des données de tous les pays de l'UE ainsi que de la Norvège, du Liechtenstein et de l'Islande. Ces autorités pourraient à leur tour décider d'étendre l'interdiction de la publicité comportementale de Meta au-delà de la Norvège, et pour combien de temps. Si cela se produit, cela pourrait avoir un impact majeur sur les activités de Meta, qui dépendent en grande partie des recettes publicitaires.

Options pour Meta : Comment s'adapter à l'interdiction

Meta a certainement la capacité de s'adapter et de mettre fin à la géolocalisation, mais le problème est que cela pourrait coûter un centime à l'entreprise de Mark Zuckerberg. Elle peut aussi opter pour une approche beaucoup plus grossière qu'elle teste actuellement dans l'UE avec sa nouvelle application, Threads - qui consiste à empêcher les Norvégiens d'utiliser Facebook et Instragm, même par l'intermédiaire d'un VPN.

Si Meta décide de s'adapter à l'interdiction plutôt que d'abandonner le marché norvégien, plusieurs options s'offrent à elle. Elle pourra collecter les données comportementales uniquement auprès des utilisateurs norvégiens qui le souhaitent, cesser complètement de collecter les données comportementales des utilisateurs en Norvège ou cesser de diffuser des publicités auprès des utilisateurs norvégiens.

D'un point de vue technique, la dernière option est la plus facile à mettre en œuvre. L'arrêt des publicités destinées aux personnes d'un certain pays est une tâche technique relativement simple qui peut être mise en œuvre très rapidement. En revanche, il est difficile de cesser de collecter des informations utilisées à des fins de suivi comportemental. La raison en est que cette fonctionnalité fait partie intégrante de Meta et qu'il n'est pas possible de la désactiver. Chaque interaction dans les applications des utilisateurs est suivie et analysée pour devenir une partie du profil. En d'autres termes, Meta a conçu ses applications et ses sites web de manière à ce qu'ils collectent toujours vos données, quoi que vous fassiez. De plus, même si vous n'utilisez pas les propres applications de Meta, telles que Facebook ou Instagram, Meta peut toujours collecter vos données à partir d'applications mobiles tierces qui intègrent les outils de Meta. Environ 40 % des applications gratuites du Google Play Store partagent des données avec Meta par l'intermédiaire du kit de développement logiciel (SDK) de Facebook qu'elles utilisent.

Compte tenu de tous ces éléments, nous pensons que si Meta tente de se conformer sérieusement à l'interdiction, la manière la plus simple de le faire sera probablement de bloquer simplement la plupart des demandes de la Norvège qui sont liées aux publicités et au suivi de leur côté. En pratique, cela signifie que si vous utilisez une application ou un site web qui utilise un SDK de Meta et vous êtes en Norvège, Meta ne recevra ni n'enverra aucune information depuis ou vers votre appareil. Il se peut que certaines fonctionnalités des applications et sites web de Meta ne fonctionnent pas en Norvège.Par exemple, vous pourriez ne pas voir certaines recommandations ou suggestions basées sur votre comportement en ligne.

Si Meta s'engage dans cette voie, il fera quelque chose de très similaire à ce que font déjà les bloqueurs de publicité : empêcher les applications et les sites web d'envoyer ou de recevoir des informations relatives aux publicités ou au suivi vers ou depuis votre appareil.

Pourquoi la Norvège est-elle à l'avant-garde en matière de protection de la vie privée ?

Ce n'est pas habituellement la Norvège qui prend l'initiative en matière de protection de la vie privée en Europe - nous sommes plus habitués à entendre que la France, Allemagne et Irlande, où se trouve le principal régulateur de la protection de la vie privée de l'UE, défier les grandes entreprises technologiques. Toutefois, cela ne devrait pas être une surprise. La Norvège, qui ne fait pas partie de l'UE mais qui est néanmoins soumise au GDPR, s'est imposée comme une nation favorable à la protection de la vie privée. L'écrasante majorité des Norvégiens semblent être conscients de leurs droits en matière de protection de la vie privée. En juin 2018, plus de 82 % des Norvégiens avaient entendu parler du GDPR et plus de la moitié d'entre eux ont déclaré avoir reçu des courriels demandant le consentement de parties dont ils ignoraient l'adresse. Selon l'enquête sur la protection de la vie privée 2019/2020 de l'autorité norvégienne de protection des données, 83 % des Norvégiens étaient très ou assez préoccupés par la protection de la vie privée. Près de sept personnes interrogées sur dix ont déclaré avoir l'impression d'avoir peu de contrôle sur la manière dont les informations personnelles sont stockées et utilisées en ligne et six personnes sur dix ont déclaré se sentir impuissantes lorsqu'il s'agit d'exercer un contrôle sur leurs informations personnelles en ligne.

Ces attitudes fortes en matière de protection de la vie privée se reflètent dans nos propres données. Selon notre rapport 2023 sur l'état du suivi des publicités dans le monde, l'Europe du Nord vit dans un environnement en ligne nettement moins pollué par le suivi des publicités que le reste du continent. Nos données indiquent que les Norvégiens rencontrent en moyenne 20 % de traqueurs publicitaires en moins que l'Européen moyen. Techniquement, cela s'explique par le fait que les applications et les sites web locaux ne sont pas trop agressifs dans le suivi des utilisateurs - cela est évident lorsque nous comparons les principaux sites d'information norvégiens tels que vg.no avec d'autres sites médiatiques de premier plan. Par exemple, lorsque nous avons utilisé AdGuard sur vg.no, nous avons constaté qu'il bloquait seulement 5 requêtes publicitaires, alors que sur The Guardian le compteur était supérieur à 20. Notez toutefois que le nombre de traqueurs bloqués sur les mêmes sites web peut varier à tout moment et dépend également des paramètres de votre application de blocage des publicités.

Quelles sont les perspectives ?

Si l'on considère la situation dans son ensemble, la décision de l'autorité de régulation norvégienne montre que la tendance contre le suivi comportemental gagne du terrain, du moins en Europe. Jusqu'à présent, Meta, contrairement à certains de ses concurrents, comme Google avec son Privacy Sandbox, s'est montré plus intéressé par la lutte contre les lois sur la protection de la vie privée que par l'adaptation à cette tendance. Ce pourrait être la goutte d'eau qui fera déborder le vase et l'incitera à changer sérieusement.

Toutefois, si Meta ne révise pas sa politique de collecte de données dans un avenir proche, et pas seulement sur le papier mais dans la réalité, il pourrait tout aussi bien cesser de faire des affaires dans l'UE à un moment ou à un autre.