En matière de collecte des données personnelles, la CJUE rappelle qu’une entreprise ne peut pas faire n’importe quoi.
Interrogée dans le cadre d’une plainte déposée en Autriche par l’association de Max Schrems Noyb, la cour de justice de l’union européenne devait s’exprimer sur l’interprétation du droit européen en matière de données personnelles.
Dans sa décision rendue vendredi dernier, la CJUE rappelle a Meta l’obligation de minimisation des données personnelles prévue dans le RGPD.
Cette obligation « s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données. »
Ce principe est détaillé à l’article 5 du règlement européen. Il vise à imposer aux entreprises de traiter uniquement les données personnelles nécessaires à ses objectifs. Ici livrer de la publicité à l’utilisateur.
Limiter les données
La réponse de la CJU clarifie le fait que les pratiques de Meta et d’autres acteurs ne sont pas conformes au RGPD. Comme le rappelle Noyb dans son communiqué, la société américaine « utilise toutes les données collectées sur un utilisateur pour la mise en place de publicité ciblées ».
Et cela recouvre l’ensemble des données collectées par le réseau social depuis 2004 ainsi que les données provenant de services tiers. Ces données sont récupérées par Meta au moyen de cookies, pixels embarqués et plug-in de réseaux sociaux.
« À la suite de cette décision, seule une petite partie des données de Meta pourra être utilisée à des fins publicitaires. Même si les utilisateurs donnent leur consentement. Cette décision s’applique également à toute autre société de publicité en ligne qui n’a pas de pratiques rigoureuses en matière de suppression des données » explique Katharina Raabe-Stuppnig l’avocate représentant Max Schrems.
Des contours à définir
Cette interprétation du RGPD pourrait donc forcer les entreprises comme Meta à revoir leur politique de rétention des données personnelles des utilisateurs.
Dans une réaction relayée par TechCrunch, le groupe assure avoir investi plus de cinq milliards d’euros pour s’assurer que ses produits respectent la vie privée des utilisateurs. Un investissement apparemment sans effet.
La décision de la CJUE ne précise toutefois pas les contours que doit prendre cette minimisation des données. La cour européenne se contente de renvoyer aux cours et autorités nationales pour déterminer précisément ce qui est acceptable au titre du principe de minimisation des données.