L’organisation noyb a récemment communiqué l’issue de l’une de ses 101 réclamations : d’après une décision rendue par une autorité européenne de protection des données, les pixels de suivi de Facebook et son outil de connexion Facebook Login ne sont pas conformes au RGPD. Pour en savoir plus, consultez le communiqué de presse officiel de noyb. Nous avons également rassemblé les commentaires de l’autre partie, Meta.
La décision :
D’après une décision rendue par l’autorité autrichienne de protection des données, le pixel de suivi de Facebook constitue une violation du RGPD et de l’arrêt « Schrems II » sur les transferts de données transatlantiques. Cette décision a été rendue en réponse à l’une des 101 réclamations de noyb. Déposée le 12 août 2020, cette réclamation portait sur l’utilisation des outils de suivi de Meta par un site d’actualité.
Répercussions :
Le site concerné avait cessé l’utilisation du pixel de suivi de Facebook et de son outil de connexion Facebook Login peu après le dépôt de la réclamation, mais la violation avait déjà eu lieu. Cette décision pourrait avoir des répercussions sur des dizaines d’autres sites, peut-être même pour tous les sites web européens qui utilisent les pixels de suivi de Facebook. Elle est susceptible d’avoir des répercussions plus larges, car les services de Facebook qui traitent des données personnelles (lesquelles sont ensuite transférées vers les États-Unis) sont très utilisés.
Amendes :
Bien qu’elle ait constaté que le pixel de suivi de Facebook constituait une violation du RGPD, l’APD autrichienne n’a prononcé aucune amende.
Nous avons eu l’occasion de demander à Facebook son avis sur cette décision. Voici sa réponse :
« Nous ne sommes pas d’accord avec les conclusions auxquelles est arrivée l’APD autrichienne en ce qui concerne l’utilisation historique de nos outils. Toutefois, il est important de noter que cette décision porte sur l’utilisation qu’en a fait un site unique à une date précise (le 12 août 2020). Depuis le dépôt de cette réclamation, les lois ont considérablement évolué aux États-Unis et dans l’UE, et nous avons modifié nos Conditions d’utilisation des Outils Business. La décision ne porte pas spécifiquement sur les pratiques actuelles de Meta ou sur le mécanisme de transfert actuellement utilisé par Meta. Les annonceurs peuvent donc poursuivre librement l’utilisation des Outils Business. »
Mise en place de nouvelles clauses contractuelles types :
Parmi les changements apportés aux Conditions d’utilisation des Outils Business, Facebook a introduit de nouvelles clauses contractuelles types.
« Nous avons mis en place de nouvelles clauses contractuelles types mentionnées dans notre Avenant sur le transfert de données européennes. Pour les données personnelles contrôlées par les annonceurs qu’elle traite en tant que sous-traitant, Meta Platforms Ireland Limited utilise les clauses contractuelles types de sous-traitant à sous-traitant, spécifiquement conçues pour les transferts d’un sous-traitant à un sous-traitant ultérieur. Meta Platforms Ireland Limited (en tant que sous-traitant exportateur de données) et Meta Platforms, Inc. (en tant que sous-traitant ultérieur importateur de données) ont mis en place des clauses contractuelles types pour couvrir le transfert des données personnelles contrôlées par les annonceurs. Pour plus d’informations sur les transferts internationaux et sur les mesures de protection mises en place pour protéger les informations personnelles des utilisateurs lors de l’utilisation des services de publicité et de mesure de Meta, prenez le temps de consulter cette ressource . En particulier, la Section 1.4 porte sur les demandes de données adressées par des gouvernements. Vous trouverez des informations supplémentaires dans notre Rapport de transparence et nos réponses aux questions fréquentes à ce sujet. »
Le cadre transatlantique pour la protection des données (DPF, pour Data Privacy Framework) :
Comme l’a rappelé Facebook, cette affaire résulte d’un conflit (en cours de résolution) entre les lois de l’UE et celles des États-Unis. Facebook a également souligné que le projet de décision d’adéquation (publié par la Commission européenne en décembre) :
apporte des garanties supplémentaires quant à la stabilité des échanges transatlantiques sur le long terme. Il s’agit d’une étape importante pour les milliers de sociétés européennes et américaines qui dépendent de transferts de données internationaux pour maintenir les liens entre les personnes et les communautés. Nous avons hâte de voir comment la situation va évoluer à mesure que nous travaillons pour l’adoption de cette décision d’adéquation.
Bien qu’elle provienne d’une APD européenne, cette décision sur l’utilisation que fait Meta des technologies de suivi sur Facebook est très importante, car elle crée un précédent.
Pour le moment, il revient donc à chaque entreprise de décider si elle veut poursuivre l’utilisation des pixels de suivi de Facebook en attendant l’adoption du cadre transatlantique pour la protection des données.
Assurez-vous de répondre à toutes les exigences essentielles du RGPD. Découvrez comment vous mettre en conformité →
