Les conséquences pour les plateformes en ligne
Le choix 'consent or pay' est-il insuffisant ?
L'utilisateur n'a pas vraiment le choix. Donnez-nous votre consentement au traitement de vos données ou payez maintenant, disent de plus en plus souvent les grandes plates-formes en ligne. Mais un tel consentement est-il vraiment valable ? Le Comité européen de la protection des données (CEPD) a pris position à ce sujet.
"En ce qui concerne les modèles 'consent or pay' introduits par les grandes plateformes en ligne, l'EDSA estime que, dans la plupart des cas, il ne sera pas possible de satisfaire aux exigences d'un consentement valable si elles ne donnent aux utilisateurs que le choix entre le consentement au traitement des données à caractère personnel à des fins de publicité comportementale et le paiement d'une redevance", peut-on lire assez clairement dans l'avis.
Les grandes plateformes en ligne devraient donc envisager de mettre à la disposition des particuliers une "alternative équivalente" qui n'implique pas le paiement d'une redevance. Cette alternative gratuite devrait être sans publicité comportementale, par exemple avec une forme de publicité impliquant le traitement de moins de données personnelles, voire aucune. "Il s'agit d'un facteur particulièrement important pour évaluer si un consentement valable a été donné en vertu du RGPD", indique l'EDSA.
"Les plateformes en ligne devraient donner un véritable choix aux utilisateurs lorsqu'ils utilisent des modèles 'consent or pay'", résume la Anu Talus, présidente de l'EDSA, résume le point de vue de l'EDSA. "Les modèles que nous avons aujourd'hui demandent généralement aux individus soit de donner toutes leurs données, soit de les payer. En conséquence, la plupart des utilisateurs consentent au traitement pour utiliser un service - et ils ne comprennent pas toutes les implications de leurs choix", explique Talus.
Voici les conséquences de l'avis de l'EDSA pour les grandes plateformes en ligne
Mais les grandes plates-formes en ligne comme Meta ou Google doivent-elles agir immédiatement ?
Dans le contexte de l'avis du Comité européen de la protection des données (CEPD), l'utilisation de "devrait" suggère généralement des lignes directrices strictes plutôt que des exigences juridiquement contraignantes. Bien que les avis du CEPD soient très influents et considérés comme des orientations faisant autorité pour l'interprétation et l'application du RGPD, ils ne sont pas eux-mêmes des lois exécutoires.
Dans l'avis, le CEPD utilise le terme "devrait" pour indiquer ce qu'il considère comme la meilleure pratique pour les plateformes en ligne en ce qui concerne les mécanismes de consentement. Cela signifie qu'il s'agit d'une pratique recommandée et non d'une règle contraignante.
Toutefois, les recommandations s'appuient sur le cadre juridique du RGPD, qui est exécutoire. Cela signifie que, bien que les recommandations spécifiques ne constituent pas des exigences légales, elles découlent des normes juridiques imposées par la loi, notamment en ce qui concerne le consentement valable et le traitement des données à caractère personnel.
En termes plus simples, si les entreprises ne suivent pas ces recommandations, elles ne sont pas nécessairement en infraction directe avec les exigences légales. Mais elles courent un risque plus élevé d'être considérées comme non conformes aux normes juridiques du RGPD lors d'inspections ou de mesures d'exécution.
La question qui reste est de savoir si, dans ces conditions, les opérateurs de plateformes en ligne au sein de l'UE seront encore incités à l'avenir à mettre leurs offres à disposition gratuitement. Les consommateurs risquent alors d'avoir un choix de moins au lieu d'un choix de plus : Du 'consent or pay', il ne restera plus que le paiement. Est-ce vraiment ce que veulent les consommateurs de l'UE ?
Juriste et rédacteur chez 2B Advice
Partager cet article :
Gestion intégrée des risques Insider
S'inscrire gratuitement.
Prendre contact
Tél : +49 (228) 926165-100
Courrier électronique : paris@2b-advice.com