Après la plainte contre la Commission européenne, l’association de défense des droits numériques autrichienne NOYB attaque cette fois X devant la CNIL néerlandaise, annonce l’ONG jeudi 14 décembre sur son site Web. Un mois plus tôt, c’est l’exécutif européen qui était attaqué par la même association, pour les mêmes raisons. Au cœur de ces deux affaires : le fait que la Commission européenne ait financé une publicité microciblée sur le réseau social d’Elon Musk, destinée à promouvoir le futur règlement controversé CSAR (pour « Child Sexual Abuse Regulation »).
La future législation, qui vise à lutter contre les abus sexuels sur mineurs en ligne, imposerait à toutes les plateformes la détection de contenus pédopornographiques, y compris pour les messageries chiffrées comme Telegram ou WhatsApp. En introduisant une exception au chiffrement, cette mesure reviendrait, pour beaucoup, à mettre fin à la correspondance privée. Pour convaincre certains États membres qui étaient contre cette mesure, la commissaire européenne en charge des Affaires intérieures, YIva Johansson, était passée par des publicités « microciblées » sur X. Dans sept pays européens (la France n’en faisait pas partie), une vidéo de 47 secondes de promotion du règlement avait été diffusée pendant une dizaine de jours.
À lire aussi : Imposer la détection de contenus pédopornographiques serait aussi inefficace que nuisible, selon des experts
Des données personnelles particulièrement sensibles utilisées sans consentement ?
Or, plus que la publicité en elle-même, c’est surtout son microciblage qui est critiqué. Concrètement, le réseau social s’est servi de données particulièrement sensibles d’utilisateurs comme leur religion ou leurs opinions politiques pour savoir quelle personne devait (ou pas) recevoir cette publicité, rapporte NOYB, l’association du juriste autrichien Max Schrems à l’origine de nombreuses actions contre les géants du numérique. La vidéo ne devait pas être diffusée à certains profils. Tous ceux catalogués comme étant sensibles à la protection de la vie privée ou comme étant eurosceptiques ou proches de l’extrême droite, en étaient exclus.
Or, toute société qui souhaite traiter des données personnelles à des fins publicitaires doit obtenir le consentement explicite des personnes concernées, selon le RGPD et le DSA. Or ici, l’autorisation des utilisateurs visés n’aurait pas été spécifiquement demandée, rapporte NOYB.
Autre problème, les conditions générales de X interdisent normalement de cibler des utilisateurs en fonction de leurs croyances politiques ou religieuses. Or dans ce cas, un annonceur (la Commission européenne) a bien utilisé des données personnelles sensibles pour cibler les utilisateurs avec des publicités. La plainte contre le réseau social d’Elon Musk a donc un objectif : mettre un terme à ce type de pratiques en général – le microciblage basée sur des données personnelles sensibles. Car « en autorisant ce microciblage, l’entreprise a violé à la fois le RGPD et le DSA », écrit l’association.
Il est en effet écrit noir sur blanc dans l’article 26 alinéa 3 du Digital Services Act que les sociétés ne peuvent utiliser des données comme « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques… » pour leurs publicités ciblées. L’ONG demande aussi à ce que la CNIL néerlandaise impose une amende à X « compte tenu de la gravité des infractions et du grand nombre d’utilisateurs concernés ».
X risque de devoir payer des amendes salées
L’association a déposé plainte aux Pays-Bas, car elle se base sur des utilisateurs néerlandais à qui la publicité a été diffusée. Pourtant, la plainte de NOYB contre X est susceptible de finir sur le bureau de la CNIL irlandaise, en raison de la règle dite du guichet unique de l’Union européenne. Selon cette règle, la juridiction compétente pour juger une entreprise internationale est celle du siège social européen de la société en question, qui se trouve ici en Irlande. En théorie, X risque une amende qui peut aller jusqu’à 4 % du chiffre d’affaires annuel mondial (pour non-respect du RGPD) et jusqu’à 6 % (pour violation du DSA).
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
