« Consentir ou payer » : le CEPD encadre fermement les offres d’abonnement payant aux réseaux sociaux

« Pay or consent », « Pay for privacy » : les deux expressions résument le nouveau modèle contractuel proposé par Meta, qui consiste à laisser le choix aux utilisateurs de payer un abonnement mensuel pour un accès sans publicités (9,99 euros pour Facebook) ou bien de fournir leurs données personnelles à des fins d’exploitation publicitaire en échange d’un accès gratuit.

L’alternative revient à faire du droit au respect de la vie privée un produit de luxe que seuls les plus riches pourront s’offrir, la masse des internautes devant accepter d’être pistés de manière généralisée. C’est exactement ainsi que cette option a été dénoncée aux États-Unis, en pointant les limites du California Consumer Privacy Act, qui autorise explicitement de telles pratiques (voir La rem n°56, p.53).

Si le droit de l’Union européenne se veut plus protecteur des droits de la personnalité, certains textes ont pu semer le trouble dans les esprits. Tel est le cas de la directive du 22 mai 2019, dont le champ d’application inclut les contrats par lesquels une entreprise s’engage à fournir des services ou contenus numériques aux consommateurs, ceux-ci devant en retour s’acquitter d’un prix ou fournir leurs données personnelles¹. Payer avec ses données serait donc possible, la question étant de savoir dans quelles limites et avec quelles alternatives.

Le CEPD (Comité européen de la protection des données) vient de rendre un avis fort éclairant sur ce point le 17 avril 2024², dans un contexte qui tend à pousser Meta dans ses derniers retranchements.

« Payer pour être laissé tranquille », l’ultime option proposée par Meta

L’enfermement du droit au respect de la vie privée dans une option payante n’a jamais été valable, tout comme les réseaux sociaux n’ont jamais été gratuits. Faire de ce droit la contrepartie d’une offre de contenus ou de services numériques est donc contraire à sa nature extrapatrimoniale. Si l’idée s’entend parfaitement sur le plan des principes, on sait qu’il en va différemment dans la pratique ; il importe cependant de maintenir une protection suffisante des droits de la personnalité, qui ne peuvent être traités comme des marchandises ou des monnaies d’échange.

Si la directive du 22 mai 2019 admet la possibilité de payer avec ses données personnelles, elle précise sur ce point que les traitements en cause ne peuvent échapper à l’application du RGPD (règlement général sur la protection des données). De même dispose-t-elle que les données nécessaires à l’exécution du contrat, autrement dit celles qui se limitent à la navigation et à l’utilisation des contenus et services par l’utilisateur, ne peuvent être utilisées comme substitut du prix. On a alors pu s’interroger sur la licéité d’un tel traitement au sens de l’article 6, l’intérêt légitime du responsable pouvant théoriquement être invoqué³. De même, il serait toujours possible d’arguer de la personnalisation du service pour accroître la quantité de données disponibles, tout en distinguant les finalités des traitements dont celles-ci peuvent faire l’objet. Cela revient à faire de la publicité ciblée un élément indissociable de l’exécution du contrat, tout en faisant dépendre le traitement des données du consentement aux seules conditions d’utilisation du service. De telles perspectives avaient déjà pu être fermement critiquées par le G29 et le CEPD dans de précédents avis et décisions⁴.

La Cour de justice a en grande partie condamné ce modèle dans son arrêt du 4 juillet 2023⁵ (voir La rem n°68, p.22). Elle a en effet estimé que ni l’intérêt légitime du responsable de traitement ni l’exécution du contrat ne pouvait servir de base de licéité au traitement de données à des fins d’exploitation publicitaire. Bien que Meta ait « sagement » évité de mentionner cette pratique comme véritable finalité des traitements qu’il met en œuvre, des actes de collecte et de traitements aussi généralisés, reposant sur un croisement de données issues de différents services du groupe ou de services tiers, ne sont ni nécessaires ni proportionnés au sens du RGPD. Les utilisateurs ne peuvent raisonnablement s’attendre à faire l’objet d’une surveillance continue de leur vie privée alors qu’ils souscrivent à un service présenté comme gratuit (§ 115-118).

Seul le consentement pourrait dès lors servir de base de licéité audit traitement, à condition d’être exprimé de façon « libre, spécifique, éclairée et univoque » (art. 4, RGPD). Il doit aussi être tenu compte de « la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » (art. 7, RGPD). On comprend mieux pourquoi Meta a développé une offre d’abonnement payant, ce qu’il aurait en vérité pu faire depuis l’origine. L’utilisateur ayant maintenant le choix entre deux options, son consentement est-il exprimé dans les conditions précitées ? C’est à cette question que répond le CEPD dans son avis du 17 avril 2024.

« Payer pour être laissé tranquille », la grande illusion

L’avis a été demandé sur le fondement de l’article 64 du RGPD par les autorités de contrôle allemande et néerlandaise, celles-ci agissant également au nom de l’autorité norvégienne.

Il intervient en prolongement de l’arrêt rendu par la Cour de justice le 4 juillet 2023, et vient préciser la portée des lignes directrices sur le consentement précédemment adoptées par le Comité⁶. Celles-ci affirmaient déjà que « le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes (par exemple, coûts supplémentaires importants) si elle ne donne pas son consentement » ; de même, un traitement de données pour lequel un consentement est sollicité ne saurait « devenir directement ou indirectement la contre-performance d’un contrat. Ces deux bases juridiques du traitement de données à caractère personnel, à savoir le consentement et le contrat, ne peuvent pas être fusionnées et amalgamées ».

Sur cette base, le Comité commence par rappeler que les traitements fondés sur le consentement n’échappent pas aux principes de nécessité et de proportionnalité, les données collectées devant l’être pour des finalités spécifiques, explicites et légitimes. Ce faisant, les traitements effectués à des fins de publicité comportementale devraient éviter de recourir à des croisements de données issues de sources multiples sur le web. Les responsables de ces traitements devraient aussi permettre aux utilisateurs de définir eux-mêmes leurs préférences en fonction de différentes options. L’affirmation fait écho à l’arrêt de la Cour de justice, qui avait relevé le caractère généralisé et potentiellement illimité des traitements effectués par Meta. Aussi importe-t-il, selon le CEPD, de ne pas réduire l’éventail des choix qui sont offerts aux utilisateurs, ni de les orienter implicitement vers un choix particulier, par exemple « en imposant une redevance telle qu’elle empêche effectivement les personnes concernées de faire un choix libre » (§ 59-60). À ce stade, la formule proposée par Meta semble déjà compromise.

« Être laissé tranquille sans payer », la vraie alternative

Le Comité fixe ensuite les conditions de validité d’un traitement basé sur le consentement qui comporte une offre d’abonnement payant sans publicité comportementale. Celle-ci ne pouvant être un élément indispensable du contrat, il importe, pour que le consentement soit libre, que l’utilisateur dispose de plusieurs choix. Tel n’est pas le cas lorsqu’il ne lui est proposé qu’une alternative binaire entre une offre payante sans publicité et une offre gratuite avec publicité comportementale – peu importe le montant de l’offre payante. De telles formules ne sauraient être considérées comme équivalentes, le choix de l’utilisateur étant enfermé au regard d’un critère financier. Aussi, le Comité estime que le consentement ne peut être donné librement qu’en présence d’une troisième offre gratuite, qui doit être moins intrusive au regard de la vie privée des utilisateurs. Celle-ci se baserait idéalement sur des publicités contextuelles ou générales, ou encore sur des publicités établies en fonction de choix dûment sélectionnés par la personne concernée (§ 72-82).

La validité d’une telle offre doit encore être appréciée au regard d’autres éléments, tels que les conséquences du refus exprimé par l’utilisateur, le couplage du consentement à une offre de contenus ou de services, ou la position dominante du responsable de traitement. De même, l’importance que représente le service en termes de source d’informations et d’utilités dans la vie quotidienne peut aussi être considérée au titre du préjudice que peut subir l’utilisateur « forcé » de consentir à l’une ou l’autre des propositions qui lui sont faites (§ 87-89). L’argument rappelle celui de la non-substituabilité des réseaux sociaux avancé par la Cour suprême des États- Unis pour justifier du caractère constitutionnel de l’accès à ces services au titre de la liberté de communication (voir La rem n°44, p.62). Des effets de verrouillage et de réseau peuvent aussi être pris en considération, en particulier lorsque les responsables des traitements en cause décident d’imposer une offre payante alors que leurs services ont longtemps été accessibles gratuitement ; les utilisateurs, qui sont en situation de dépendance, seraient alors moins enclins à opter pour une offre payante (§ 90-95 et § 109).

Enfin, le Comité fournit quelques indications sur la substance de l’offre gratuite équivalente qui peut être proposée par les responsables de traitement. Si celle-ci n’a pas à être absolument identique à l’offre basée sur la publicité comportementale, il importe malgré tout que le contenu et les fonctionnalités du service soient au moins d’une qualité similaire. Autrement dit, l’idéal serait que les capacités d’utilisation d’un réseau social ne varient qu’à la marge, quelle que soit l’offre choisie. Selon le Comité, « plus la version alternative diffère de la version avec publicité comportementale, moins il est probable que la version alternative soit considérée comme réellement équivalente » (§ 124). Quant à l’offre payante, il importe que celle-ci ne soit pas dissuasive, et surtout que son montant soit « approprié », ce qui sous-entend de le corréler à d’autres éléments tels que le coût de fonctionnement du service ainsi que les autres sources de revenus. En effet, la protection de la vie privée ne doit pas être « transformée en une fonctionnalité que les personnes concernées doivent payer pour en bénéficier, ou en une fonctionnalité premium réservée aux riches ou aux nantis » (§ 132).

On ne saurait mieux rappeler la nature extrapatrimoniale des droits de la personnalité. Il en est de même pour ce qui concerne les conséquences sociales que peuvent impliquer des accès différenciés à des services aussi essentiels dans la vie quotidienne.

Meta, toujours plus acculé au sein de l’Union européenne 

L’avis du CEPD tombe au plus mauvais moment pour Meta. En effet, l’abonnement payant désormais proposé n’a pas survécu très longtemps aux critiques et expose le groupe à de nouvelles poursuites.

L’association None of your Business, dont Max Schrems est l’un des fondateurs, a déposé une plainte auprès de l’autorité autrichienne de protection des données, estimant que cette offre constituait une violation des articles 6 et 7 du RGPD⁷. L’association a également soulevé les nombreux effets pervers de ce mécanisme, en dénonçant le coût de l’abonnement sur une année, qui s’avère hors de portée pour les populations les plus précaires⁸. À cela s’ajoute le caractère naturellement dissuasif des offres payantes. Sur ce point, une étude universitaire affirme que 99 % des utilisateurs préfèrent se tourner vers une offre gratuite avec publicité comportementale, quand bien même le prix serait très bas⁹. C’est bien là l’un des effets de verrouillage souligné par le CEPD dans son avis. Les mêmes griefs ont été soulevés par plusieurs associations européennes de défense des consommateurs, dont l’UFC-Que Choisir en France, lesquelles ont à leur tour saisi les autorités nationales de contrôle. Selon l’UFC, la nouvelle formule proposée par Meta n’est qu’un « écran de fumée destiné à détourner l’attention du consommateur quant au traitement illicite de ses données personnelles »¹⁰.

C’était sans compter sur l’intervention de la Commission européenne, qui a aussi ouvert une procédure contre Meta¹¹, cette fois-ci au titre de l’article 5 du règlement sur les marchés numériques, interdisant aux contrôleurs d’accès de procéder à certains traitements de données de leurs utilisateurs, tels que les croisements avec des données issues de services tiers, sans avoir recueilli leur consentement¹². Les premières constatations préliminaires publiées par la Commission cet été concluent à la violation du règlement, l’enquête devant se poursuivre jusqu’à début 2025¹³. À ce titre, il importe de rappeler que l’avis du CEPD ne se limite pas à l’interprétation du seul RGPD mais doit être corrélé avec les autres textes applicables aux fournisseurs de très grandes plateformes en ligne et aux contrôleurs d’accès. Il en est de même avec le règlement sur les services numériques¹⁴, dont l’article 25 interdit le recours aux interfaces trompeuses. Celles-ci sont également proscrites par le Comité dans son avis (§ 167).

Acculé de toutes parts, Meta a finalement proposé à la Commission européenne de baisser le tarif de ses abonnements payants, en faisant passer celui de Facebook de 9,99 € à 5,99 € auxquels s’ajouteraient 4 € pour tout compte additionnel¹⁵. Si la pression exercée sur le groupe semble porter ses fruits, sa politique de « petits pas » tend à prolonger toujours plus ses facilités d’exploitation… Jusqu’à quand ?

Sources : 

• Directive (UE) 2019/770 du Parlement européen et du Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques, 3.
• Avis 08/2024 sur le consentement valable dans le contexte des modèles de consentement ou de paiement mis en œuvre par les grandes plateformes en
• Léonard Thierry, « Peut-on payer avec ses données personnelles ? », Ulys – Droit et Technologies, 19 septembre 2019.
• Voir : Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, 9 avril 2014 ; Avis n° 4/2017 du 14 mars 2017 sur la proposition de directive concernant certains aspects des contrats de fourniture de contenu numérique, p. 8-14 ; Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées, 8 octobre 2019 ; Décision contraignante 3/2022 du 5 décembre 2022 sur le différend soumis par l’autorité irlandaise concernant Meta Platforms Ireland Limited et son service Facebook.
• CJUE, GC, 4 juillet 2023, Meta Platforms et a. c./Bundeskartellamt, n° C-252/21.
• Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679, 4 mai 2020.
• Le texte de la saisine, en date du 28 novembre 2023, est disponible à l’adresse https://noyb.eu
• « Noyb files GDPR complaint against Meta over « Pay or Okay » », eu, 28 novembre 2023.
• Morel Victor, Santos Cristiana, Fredholm Viktor, Thunberg Adam, « Legitimate Interest is the New Consent – Large-Scale Measurement and Legal Compliance of IAB Europe TCF Paywalls », Proceedings of the 22ndWorkshop on Privacy in the Electronic Society, WPES, 23, 26 novembre 2023, p. 153-158.
• « L’UFC-Que Choisir dépose plainte auprès de la CNIL », quechoisir.org, 29 février 2024.
• « La Commission ouvre des enquêtes pour non-conformité contre Alphabet,  Apple  et  Meta  au  titre du règlement sur les marchés numériques », communiqué de presse de la Commission européenne, 25 mars
• Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques).
• « La Commission envoie des constatations préliminaires à Meta concernant son modèle « Payer ou consentir » pour violation du règlement sur les marchés numériques », communiqué de presse de la Commission européenne, 1er juillet 2024.
• Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques).
• Hancock Edith, « Meta offers to lower ad-free subscription fee amid EU scrutiny », Politico, 19 mars 2024.