L’autorité de protection des données norvégienne, la Datatilsynet, a annoncé lundi l’interdiction temporaire du service de ciblage publicitaire comportemental de Meta « basé sur la surveillance des utilisateurs » en Norvège, considérant qu’il est « illégal ».
L’autorité explique dans son communiqué que « Meta suit en détail l’activité des utilisateurs de ses plateformes Facebook et Instagram. Les utilisateurs sont profilés en fonction de l’endroit où ils se trouvent, du type de contenu auquel ils s’intéressent et de ce qu’ils publient, entre autres ». Elle ajoute que « ces profils personnels sont utilisés à des fins marketing, ce que l’on appelle la publicité comportementale ».
Ce profilage par Meta ne respecterait pas, selon elle, le RGPD.
La Datatilsynet appuie sa décision [PDF] sur celles [PDF concernant Facebook, PDF concernant Instagram] de la commission de protection des données irlandaise (Data protection commisssion, DPC) du 31 décembre dernier qui considéraient ce ciblage contraire au RGPD.
Si Meta a effectué quelques modifications, l’autorité norvégienne pointe la récente décision de la Cour européenne de justice du 4 juillet dernier qui relève que « malgré la gratuité des services d’un réseau social en ligne tel que Facebook, l’utilisateur de celui-ci ne saurait raisonnablement s’attendre à ce que, sans son consentement, l’opérateur de ce réseau social traite les données à caractère personnel de cet utilisateur à des fins de personnalisation de la publicité. Dans ces conditions, il doit être considéré que les intérêts et les droits fondamentaux d’un tel utilisateur prévalent sur l’intérêt de cet opérateur à une telle personnalisation de la publicité par laquelle il finance son activité, de sorte que le traitement effectué par celui-ci à de telles fins ne saurait relever de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD ».
Dans sa décision, la Datatilsynet précise : « après avoir soigneusement évalué les éléments de preuve disponibles, nous sommes parvenus à la conclusion que Meta n’a pas mis ses opérations de traitement en conformité avec l’article 6, paragraphe 1, du RGPD comme demandé ».