Utilisateurs de Meta, Instagram, et autres plateformes du groupe Meta vous devriez avoir reçu récemment une notification concernant la mise en place prochaine de nouvelles expériences liées à l’Intelligence Artificielle de Meta.
Cette notification vous informe que vos données pourraient être utilisées dans le cadre du développement de l’IA. Photos, écrits, posts, tags, likes, et plus généralement toutes les informations qui pourraient servir pour l’entraînement et l’amélioration de l’IA META.
Plus que jamais, la protection des données personnelles est un enjeu majeur pour les États, les utilisateurs et surtout pour les libertés fondamentales.
Perséphone vous propose, après l’épisode 1, de s’intéresser à l’enjeu du marché des données personnelles à travers Meta, sa politique de traitement des données personnelles et les tentatives de protection par les organismes régulateurs.
L’importance du marché des données personnelles
La data est le nouvel « or noir » des sociétés commerciales. Les données permettent aux entreprises de mieux comprendre les consommateurs, leurs attentes, leurs habitudes, leurs modes et fréquence de consommation. Ces données analysées par l’homme ou par l’intelligence artificielle sont essentielles dans le processus de commercialisation et d’adaptation de l’offre à la demande. Comprendre la cible du produit permet de vendre le produit au bon moment, dans les bonnes conditions et au meilleur prix.
Pour les grandes entreprises comme Meta, les réseaux sociaux sont « The place to be » pour collecter, analyser et revendre les données. Plus les utilisateurs des réseaux sont nombreux, plus il y a d’échanges d’informations et donc de données à récolter, analyser et revendre.
Les réseaux sociaux sont aujourd’hui valorisés sur le nombre d’utilisateurs. Tout d’abord pour le côté publicitaire et le nombre de personnes que va toucher la publicité, ensuite pour le côté données récoltées qui permettront les analyses et les reventes mentionnées précédemment.
L’association de consommateurs américaine Consumer Reports a publié une étude en janvier 2024. Cette étude consistait à analyser et collecter les données détenues par Facebook sur 709 utilisateurs américains et retrouver le nombre total d’entreprises ayant partagé les données de ces utilisateurs. Ce serait plus de 186 000 entreprises qui auraient partagé leurs connaissances avec Facebook sur ces utilisateurs et en moyenne 2230 données par utilisateur.
Parmi ces entreprises qui partagent les données, on peut citer Walmart, Amazon ou PayPal.
Ces dernières années, de nouvelles entreprises ont fait leur apparition, comme les « Data Brokers » qui achètent des données, les croisent, forment des analyses et revendent ces analyses pour plusieurs milliers, voire des millions d’euros.
PwC estimait qu’en 2017, le marché de la donnée personnelle s’élevait à 188 milliards de dollars. En France, le marché de la donnée représentait en 2023 plus de 2,7 milliards d’euros.
Mark Zuckerberg expliquait que « les gens nous disent que s’ils doivent voir des publicités, celles-ci doivent être pertinentes pour eux » et que pour cela « nous devons comprendre leurs centres d’intérêt ».
Politique de traitement des données de Meta et sanctions européennes
Meta a le droit d’enregistrer l’ensemble des visites et activités des utilisateurs sur ses réseaux sociaux. Ils peuvent aussi suivre grâce à des trackers les parcours des utilisateurs sur d’autres sites afin de leur diffuser des publicités ciblées.
Lors de l’inscription sur une plateforme de Meta, il n’est pas toujours évident de comprendre l’utilisation qui va être faite des données des utilisateurs.
À la lecture de leur politique d’utilisation des données, il est possible de relever parmi les informations collectées :
- Les activités et les informations des utilisateurs (écrits, photos, conversations, activités directes).
- Les activités des autres personnes et les informations qu’elles fournissent (tags, partages, importation des données, etc.).
- Les réseaux de contacts (amis, groupes, données téléchargées, etc.).
- Informations relatives aux paiements (carte de crédit, achats réalisés, ventes, etc.)
- Informations sur vos appareils (modèle, géolocalisation, intensité du signal, niveau de batterie etc.).
- Informations provenant des sites web et des applications qui ont recours à leurs services (tout site ou application ayant un lien avec Facebook).
- Informations provenant de partenaires tiers (sociétés tierces ayant collaboré avec Facebook).
- Sociétés de Facebook (informations provenant de sociétés appartenant à Facebook).
Ce manque d’évidence et de protection des utilisateurs a conduit à plusieurs condamnations.
Il est possible de citer :
- une condamnation en novembre 2022 par la CNIL Irlandaise d’un montant de 265 millions d’euros en raison du vol de données de 530 millions d’utilisateurs.
- une condamnation en juillet 2023 de 2 millions par la CNIL Allemande pour avoir « caché » le formulaire de choix sur le traitement des données personnelles.
- Une condamnation en janvier 2023 pour 390 millions d’euros pour non-respect du RGPD et du transfert des données aux Etats-Unis.
Cette condamnation a entraîné Meta à proposer des offres payantes aux consommateurs qui souhaitaient limiter le traitement de leurs données et les offres publicitaires ciblées. Ce forfait reviendrait à une dizaine d’euros par mois et permettrait selon Meta de « se conformer » aux réglementations sur les données.
Cela ne semble néanmoins pas suffisant et depuis cette annonce plusieurs associations de consommateurs de plusieurs pays européens ont porté plainte.
La 5ème et dernière condamnation en date a conduit à une amende record de 1,2 milliards d’euros, pile la semaine du 5ème anniversaire de l’entrée en vigueur du RGPD. À titre de rappel, Meta a clôturé l’année 2023 avec un bénéfice net d’environ 39 milliards de dollars.
Rappelons aussi que Meta n’est pas la seule entreprise condamnée. Amazon, Tiktok et autres entreprises sont aussi régulièrement incriminées.
La régulation européenne en matière de protection des données personnelles
Le Règlement Général sur la Protection des Données Personnelles (RGPD, ou GDPR en anglais) définit les principes généraux du traitement des données à caractère personnel.
Les données personnelles doivent être :
- traitées de manière licite, loyale, et transparente (connaissance de l’utilisateur du traitement des données)
- pour des finalités déterminées, explicites et légitimes (but du traitement des données)
- adéquates, pertinentes et limitées (principe de minimisation des données)
- conservées pour une durée limitée (principe de limitation dans le temps)
- traitées de manière sécurisée (principe de protection).
Pour qu’un traitement soit licite, il doit se baser sur l’une des conditions suivantes :
- Consentement de l’utilisateur
- Nécessaire à l’exécution d’un contrat
- Nécessaire au respect d’une obligation légale
- Nécessaire à la sauvegarde des intérêts vitaux d’une personne
- Nécessaire à l’exécution d’une mission d’intérêt public
- Nécessaire aux fins des intérêts légitimes, sauf cas particuliers disposant d’une protection supérieure (intérêt de l’enfant).
Dans un premier temps, Meta avait basé son traitement sur l’exécution du contrat passé entre l’utilisateur et lui (le petit 2 ci-dessus) du fait de l’acceptation des CGV/CGU. La CNIL Irlandaise avait alors condamné Meta à 390 millions considérant que ce n’était pas adapté à la réalité.
Dans un second temps, Meta avait alors basé son traitement sur son intérêt légitime, arguant que le traitement des données est impératif et nécessaire au fonctionnement de Meta. Une nouvelle fois, Meta se voit refuser la base légale de traitement. Dans l’arrêt de la Cour de Justice de l’Union Européenne qui le condamne, les juges évoquent la possibilité de faire payer les utilisateurs.
Meta s’est alors engouffré dans cette solution pour justifier le « consentement de l’utilisateur » en raison de son non-choix de la solution payante de Facebook, Instagram, etc.
Il semblerait pourtant que cette stratégie ne soit pas suffisante, un choix doit se manifester par un consentement libre et éclairé de l’utilisateur.
Le plus simple serait de recueillir un consentement de tous les utilisateurs des plateformes Meta mais la compagnie ne peut s’y résoudre au regard du risque important de refus.
Abonnement payant à un prix juste ? Sixième condamnation à venir ? Consentement des utilisateurs ? Les défenseurs de la vie privée sont peu nombreux au regard des entreprises qui exploitent les données mais ils n’ont pas dit leur dernier mot.
Affaire à suivre donc…
Fun Facts :
- Le fait de copier-coller sur son mur Facebook « Je n’autorise pas Facebook à utiliser mes photos, informations, messages ou publications. » n’a aucune valeur juridique. Cette information a été confirmée par la CNIL.
- Depuis le dernier post de Perséphone, NVIDIA est passé devant Apple devenant ainsi la deuxième entreprise la plus valorisée au monde. Meta est au 7ème rang des plus grandes capitalisations boursières.
- Une des grandes organisations de protection de la vie privée s’appelle NOYB, dont la devise est « Ma vie privée est None Of Your Business », soit « Ma vie privée ne vous regarde pas ».