Le modèle économique de Facebook en partie condamné par la CJUE

L’arrêt rendu par la Cour de justice de l’Union européenne le 4 juillet 2023 marque une clarification opportune quant aux bases de licéité des traitements auxquelles peuvent recourir les prestataires de services gratuits tels que les réseaux sociaux.

« Le capitalisme de surveillance est une forme sans limite qui ignore les distinctions anciennes entre marché et société, marché et monde, marché et individus. C’est une forme avide de profit dans laquelle la production est subordonnée à l’exploitation, les capitalistes de surveillance exigeant le contrôle sur des territoires humains, sociétaux et politiques situés bien au-delà de ce qui est d’ordinaire le champ d’action des entreprises privées ou du marché. »

L’ouvrage de Shoshana Zuboff1L’Âge du capitalisme de surveillance, démontre comment les géants du numérique ont bâti leurs empires sur l’exploitation du surplus comportemental, qui repose elle-même sur les traitements à grande échelle des données personnelles des consommateurs. Le modèle économique, adopté par nombre de réseaux sociaux, consistant à proposer des services ou des contenus numériques s’est bâti sur la valorisation des données des utilisateurs à des fins de ciblage publicitaire.

La validité de ce modèle a été maintes fois critiquée au titre de sa conformité avec le RGPD (règlement général sur la protection des données)2. Ainsi a-t-on pu affirmer qu’il s’agissait d’un modèle « aux pieds d’argile »3, tant il semble incompatible avec les exigences du texte. Au-delà, c’est de la nature même des données personnelles dont il est question, car celles-ci sont à la frontière entre les choses et les personnes (voir La rem n° 46-47, p.90). Pourraient- elles être des biens4 ? La réponse dépend grandement de l’interprétation du RGPD à l’aune des pratiques déployées par les services en ligne gratuits qui recourent à une valorisation publicitaire des données.

La Cour de justice de l’Union européenne s’est prononcée sur ce sujet dans son arrêt du 4 juillet 2023, s’agissant des bases de licéité des traitements de données réalisés par Meta à des fins de ciblage publicitaire5. Le moins qu’on puisse dire est que son modèle économique est loin d’en sortir indemne.

Peut-on payer avec des données à caractère personnel ?

La réponse à cette question est positive sur le terrain du droit de la consommation. Le tribunal de grande instance de Paris a jugé, à quatre reprises, que les conditions générales d’utilisation (CGU) de services en ligne gratuits sont des contrats à titre onéreux. En effet, la contrepartie à la gratuité que constitue l’exploitation des données à des fins publicitaires correspond à un avantage au sens de l’article 1107 du code civil. C’est pourquoi les CGU de Twitter (voir La rem n°48, p.26), de Google+ et de Facebook (voir La rem n°50, p.16), ainsi que celles de Steam6 ont été passées au crible des dispositions du code de la consommation interdisant les clauses abusives. Bien que protectrice des utilisateurs, la solution se fonde sur l’existence d’un échange monétaire entre l’accès au service et les données à caractère personnel.

Cette qualification a également été confirmée au niveau de l’Union européenne avec la directive du 22 mai 2019 relative aux contrats de fourniture de services ou de contenus numériques7. Son article 3 dispose notamment que « la présente directive s’applique à tout contrat par lequel […] le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur, et le consommateur fournit ou s’engage à fournir des données à caractère personnel au professionnel ». Bien que les dispositions de la directive portent sur la garantie de conformité des contenus et services proposés, l’article précité ne laisse aucun doute quant à la possibilité de payer l’équivalence d’un prix par la fourniture de données à caractère personnel. Le Comité européen de la protection des données (CEPD) estimait pourtant que celles-ci ne peuvent pas être traitées comme n’importe quelle marchandise et s’était pourtant insurgé contre ce mécanisme8. Sa transposition dans le code de la consommation s’est faite au prix d’une formulation plus neutre, l’article L 224-5-2 visant l’« avantage » que le consommateur peut procurer « au lieu ou en complément du paiement d’un prix ».

Pour autant, l’article 3 de la directive dispose que celle-ci est sans préjudice du RGPD et de la directive du 12 juillet 2002, qui doivent primer en cas de conflit. De là, il était nécessaire de rechercher quelle pourrait être la base de traitement de l’article 6 du RGPD la plus adéquate pour légitimer les traitements effectués à des fins de rémunération du service.

Quelle base de traitement pour les données traitées comme l’équivalent d’un prix ?

Si le consentement (art. 6 1. a), l’exécution du contrat (art. 6 1. b) et l’intérêt légitime (art. 6 1. c) semblent spontanément appelés, une analyse plus fine permet a priori d’exclure les deux premières9.

Tout d’abord, le recours au consentement est contradictoire au regard de la globalité du contrat. En effet, on ne peut consentir à un contrat sans payer ou consentir au traitement de données. L’utilisateur est donc enfermé. C’est pourquoi le CEPD estimait que le « couplage » des consentements ne pouvait être admis que dans des cas très exceptionnels10. L’existence d’une offre payante doit également être regardée avec beaucoup de vigilance ; un prix prohibitif s’avérerait nécessairement décourageant pour le consommateur, qui se tournerait dès lors vers l’offre gratuite11. Cette logique du pay for privacy a justement pu être dénoncée aux États-Unis, le California Consumer Privacy Act (CCPA) prévoyant une dérogation en ce sens à l’interdiction des pratiques discriminatoires (voir La rem n°56, p.53).

La base de l’exécution du contrat, quant à elle, est exclue par l’article 3 de la directive du 22 mai 2019, qui dispose que les traitements de données effectués pour procurer un substitut de prix ne peuvent porter sur « les données à caractère personnel fournies par le consommateur [qui] sont exclusivement traitées par le professionnel pour fournir le contenu numérique ou le service numérique ». Le CEPD avait fort justement estimé que les fonctionnalités de ciblage publicitaire ne sauraient être considérées comme nécessaires à l’exécution du contrat. La personnalisation du service ou des contenus peut, au mieux, constituer un objectif légitime, sans que cela soit apprécié de façon générale12. L’affirmation a été réitérée par le comité, spécialement à l’égard du modèle économique de Facebook13.

Ne reste donc que l’intérêt légitime du responsable de traitement. L’invocation de cette base nous rappelle que les services proposés par les réseaux sociaux ne sont gratuits qu’en apparence. Ils impliquent un coût que le prestataire a tout intérêt à répercuter sur l’utilisateur. Il y aurait ainsi un intérêt légitime à se rémunérer par le biais de la publicité ciblée, ce qui permet par ailleurs de toucher une plus large audience. Le rôle de la publicité dans les médias a toujours été de créer un abaissement de leur prix au profit des consommateurs, ce qui contribuait à leur caractère démocratique. Encore faut-il que cet intérêt légitime soit supérieur aux « intérêts ou [aux] libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel ». Le G29 (groupe de travail de représentants des autorités de contrôle nationales, institué par l’article 29 de la directive du 24 octobre 1995) avait en son temps rappelé ce nécessaire rapport de proportionnalité. La pratique consistant à connaître les préférences des consommateurs afin de personnaliser des offres, notamment à des fins de prospection commerciale, lui semblait pouvoir constituer un intérêt légitime si elle relève d’un service supplémentaire proposé à l’utilisateur. Cependant, elle ne pourrait dégénérer en un mécanisme de surveillance généralisée de leurs activités14.

Il était donc essentiel que la Cour de justice soit saisie de ce sujet, et son arrêt apporte des enseignements intéressants.

Les traitements effectués par Meta ne sont ni nécessaires ni proportionnés

L’affaire prend sa source dans une procédure engagée par l’autorité fédérale de la concurrence allemande, qui a enjoint à Meta de cesser le traitement d’un certain nombre de données des utilisateurs de Facebook.

Sont concernées les données dites « off Facebook », qui sont issues de services extérieurs au réseau social, telles que les données de navigation ainsi que celles qui sont générées par d’autres applications du groupe Meta (Instagram, WhatsApp, Oculus et Masquerade). Ces données sont reliées à Facebook via des interfaces de programmation appelées les outils « Facebook Business » (voir La rem n°41, p.20, n°42-43, p.18 et n°44, p.17). Saisi d’un recours de Meta, le tribunal régional supérieur de Düsseldorf décida de poser plusieurs questions préjudicielles à la Cour de justice, portant, entre autres, sur l’impact de deux bases de licéité précitée : l’exécution du contrat et l’intérêt légitime.

S’agissant de la nécessité pour l’exécution du contrat, la Cour rappelle que la personnalisation du service peut, en théorie, présenter un intérêt pour les consommateurs. Cependant, elle n’apparaît pas indispensable à l’utilisation d’un réseau social, car celle-ci peut, en effet, reposer sur une alternative moins intrusive de la vie privée (§ 102). Le constat est d’autant plus juste que l’usage des réseaux sociaux s’est diversifié depuis leur origine. Comme l’a relevé la Cour suprême des États- Unis en 2017 (voir La rem n°44, p.62), ces services constituent de véritables carrefours numériques où il est possible de s’informer, de vendre et d’acheter, de communiquer avec ses proches, de postuler à des offres d’emploi… autant d’usages pour lesquels une personnalisation des contenus et des publicités n’est pas nécessaire. La Cour de justice rejette aussi l’argument tiré de la complémentarité et de la fluidité des services proposés par Meta, ceux-ci pouvant être utilisés indépendamment les uns des autres (§ 103). Par conséquent, les traitements fondés sur l’agrégation et le croisement de données issues de différentes sources ne sont pas nécessaires à l’exécution du contrat.

Quant à l’intérêt légitime, la Cour en rappelle la portée telle qu’elle l’a délimitée dans sa jurisprudence, en reprenant la nécessité du traitement pour l’objectif poursuivi par le responsable. Cet élément est décisif pour apprécier l’équilibre à respecter avec les droits et libertés des utilisateurs des services. Il est, de plus, conforté par le principe de minimisation des données. Sur ce point, Meta invoquait plusieurs objectifs, tels que la personnalisation de la publicité, la sécurité du réseau, l’amélioration du produit, l’information des autorités compétentes pour l’exercice de poursuites pénales et pour l’exécution de peines, le fait que l’utilisateur soit un mineur d’âge, la recherche et l’innovation à des fins sociales ainsi que l’offre, destinée aux annonceurs et aux autres partenaires professionnels, de services de communication commerciale à destination de l’utilisateur et d’outils d’analyse leur permettant d’évaluer leurs performances. Cet inventaire ne pouvait que difficilement survivre à l’analyse.

La finalité de personnalisation de la publicité est d’office évacuée, en ce qu’elle ne peut par nature constituer un intérêt légitime du responsable de traitement (§ 115). Quant aux autres objectifs, la Cour rappelle qu’il faut prendre en compte les attentes raisonnables des utilisateurs ; ceux-ci ne sauraient imaginer que les données qu’ils communiquent au service ainsi que celles qui proviennent de services tiers vont faire l’objet de traitements aussi vastes, alors qu’ils souscrivent un service gratuit (§ 116-117). Et la Cour enfonce le clou par une déclaration de principe : « le traitement en cause au principal est particulièrement étendu dès lors qu’il porte sur des données potentiellement illimitées et qu’il a un impact important sur l’utilisateur, dont une grande partie, voire la quasi-totalité, des activités en ligne sont monitorées par Meta Platforms Ireland, ce qui peut susciter auprès de celui-ci la sensation d’une surveillance continue de sa vie privée » (§ 118). Pour peu que les objectifs invoqués soient légitimes, il importera dès lors de vérifier si ceux-ci ne peuvent pas être atteints par d’autres moyens moins intrusifs.

Si la Cour ne ferme donc pas totalement la porte au modèle d’affaires de Meta, elle en réduit considérablement la portée. Les traitements devraient désormais être segmentés service par service, les sources extérieures de données devant, en principe, être exclues. Seul le développement de modèles payants semble dès lors envisageable, comme cela est déjà pratiqué par d’autres acteurs. Il sera peut-être difficile d’en venir à des offres payantes alors qu’une grande partie du public s’est habituée à la gratuité de ces services.

Sources :

  1. Zuboff Shoshana, L’Âge du capitalisme de surveillance, Zulma, 2020, p. 681.
  2. Benabou Valérie-Laure, Rochfeld Judith, À qui profite le clic ? Le partage de la valeur à l’ère numérique, Odile Jacob, 2015, p. 27.
  3. Netter Emmanuel, « Service en ligne « gratuit » contre publicité ciblée : le modèle d’affaires aux pieds d’argile », in Ravel d’Esclapon Thibault, Lasserre Capdeville Jérôme, Rontchevsky Nicolas, Simler Philippe, Mélanges en l’honneur de Michel et Jean-Patrice Storck, Dalloz, 2021, 473.
  4. Revet Thierry, « Les données, nouveau(x) bien(s) ? », in Bruguière Jean-Michel [dir.], L’Émergence d’un droit des données, Dalloz, 2023, p. 69-80.
  5. CJUE, GC, Meta Platforms Inc. e.a. c./ Bundeskartellamt, n° C-252/21, 4 juillet 2023.
  6. TGI Paris, 14 septembre 2019, RG n°16/01008, PI, n° 74, janvier 2020, p. 51-54, obs. A. Lucas, et p. 58-60, obs. J.-M. Bruguière ; en appel : CA Paris, P. 5, 2e , 21 octobre 2022, RG n° 20/15768, RLDI, n° 198, décembre 2022, p. 10-16, note P. Mouron et G. Rabu ; PI, n° 86, janvier 2023, p. 34-35 et p. 41-43, obs. A. Lucas- Schloetter.
  7. Directive (UE) 2019/770 du Parlement européen et du Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques.
  8. Avis n° 4/2017 du 14 mars 2017 sur la proposition de directive concernant certains aspects des contrats de fourniture de contenu numérique, p. 8-14.
  9. Léonard Thierry, « Peut-on payer avec ses données personnelles ? », Ulys – Droit et Technologies, 19 septembre 2019.
  10. Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679, 4 mai 2020, § 25-40.
  11. Netter Emmanuel, « La publicité ciblée n’est pas « nécessaire » au contrat de réseau social. Le crépuscule d’un modèle d’affaires », RTD-Com., juillet 2023, p. 359.
  12. Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées, 8 octobre 2019, § 51-57.
  13. Décision contraignante 3/2022 du 5 décembre 2022 sur le différend soumis par l’autorité irlandaise concernant Meta Platforms Ireland Limited et son service Facebook, § 119.
  14. Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, 9 avril 2014, p. 28-29.
Professeur de droit privé à Aix-Marseille Université et rattaché au Laboratoire interdisciplinaire de droit des médias et des mutations sociales (LID2MS).