L’autorité norvégienne de protection des données (Datatilsynet) a décidé d’interdire à la société META, éditeur de Facebook et Instagram, de traiter les données des utilisateurs norvégiens à des fins de publicité comportementale.

Six mois plus tôt, en décembre 2022, l’autorité irlandaise de protection des données (DPC) avait estimé que la société META ne pouvait pas justifier le traitement de données de ses utilisateurs à des fins de publicité comportementale par l’utilisation d’un contrat passé avec l’utilisateur. La DPC avait alors laissé trois mois à META pour se mettre en conformité.

Suite à cette injonction de mise en conformité, la société META a décidé de modifier la base légale utilisée pour justifier ses traitements de données et de remplacer l’utilisation d’un contrat par la poursuite d’« intérêts légitimes ». Or, dans un arrêt du 4 juillet 2023, la CJUE a estimé que META ne pouvait pas justifier des traitements de données à des fins de publicité comportementale par des intérêts légitimes.

L’autorité norvégienne, jugeant que la société META ne s’était toujours pas mise en conformité après un délai bien supérieur aux trois mois imposés par la DPC, et après une demande infructueuse à la DPC d’imposer une interdiction, a choisi de recourir à la procédure d’urgence prévue par le RGPD.

Cette procédure d’urgence permet à l’autorité norvégienne de prendre une décision de manière autonome et de ne pas suivre la procédure traditionnelle, qui demanderait l’intervention de l’autorité irlandaise, autorité, réputée laxiste, où se trouve l’établissement principal de la société META.

Cette interdiction concerne uniquement les utilisateurs norvégiens et est valable pour trois mois, à compter du 4 août 2023. Passé ce délai et en l’absence d’une mise en conformité de la part de la société META, l’autorité pourra imposer une astreinte à hauteur de 1 000 000 NOK par jour (env. 90 000 €). L’autorité pourra également demander à l’EDPB d’émettre une interdiction plus générale pour l’ensemble des pays de l’Union européenne.

« [Nous] exposons les mesures nécessaires pour garantir que les personnes concernées puissent utiliser les services Facebook et Instagram dans le plein respect de leur droit à la protection des données et, partant, d’autres libertés et droits fondamentaux tels que le droit à la vie privée, la liberté d’information et la protection contre la discrimination.

La plupart des personnes concernées ne comprennent pas pleinement les activités de profilage intrusives auxquelles elles sont soumises dans le cadre de ces services. C’est pourquoi, nous estimons qu’il est important de protéger leurs droits et libertés. En outre, les services sont utilisés par de nombreuses personnes vulnérables qui ont besoin d’une protection particulière. »

— Datatilsynet, Décision du 14/07/2023, traduit

Mise à jour du 6 septembre : la société META a fait appel de cette décision, car la société considérait que l’autorité norvégienne n’était pas autorisée à prendre une telle décision et parce qu’elle estimait que la décision était non valable en raison de l’absence de notification préalable. Le tribunal d’Oslo a toutefois rejeté ces arguments et a jugé « qu’il n’y a aucune raison » de suspendre cette décision.

Lire :

Sigles et acronymes

  • DPC : Data Protection Commission
  • RGPD : Règlement Général sur la Protection des Données
  • CJUE : Cour de justice de l'Union européenne
  • EDPB : European Data Protection Board