Le Datatilsynet, la CNIL norvégienne, a pris une décision d’urgence ce 17 juillet concernant Facebook et Instagram. La publicité comportementale est interdite, en Norvège uniquement, sur les deux réseaux sociaux. Si cette mesure n’est pas respectée à partir du 4 août, Meta s’expose à une amende quotidienne d’un million de Couronnes norvégiennes, 89 900 euros.
La Norvège estime devoir prendre une mesure d’urgence face au comportement de Meta
« La surveillance commerciale invasive à des fins de marketing est aujourd’hui l’un des plus grands risques pour la protection des données sur Internet », a déclaré Tobias Judin, responsable internationale de l’autorité norvégienne de protection des données. L’institution reproche à Meta de profiler ses utilisateurs, en fonction de leurs comportements en ligne, du lieu où ils se trouvent, des contenus publiés, etc.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Le géant des réseaux sociaux a déjà été sanctionné d’une amende de 390 millions d’euros pour cette raison, en début d’année, par la Data Protection Commission irlandaise (DPC). Des changements ont été opérés par l’entreprise entretemps. Cependant, une décision de la Cour de Justice de l’Union européenne du 4 juillet a jugé que les pratiques de Meta n’étaient toujours pas conformes.
Selon le Règlement général sur la gestion des données (RGPD), c’est normalement à Dublin de régler cette question, le siège européen de Meta étant en Irlande. Toutefois le texte européen prévoit une procédure d’urgence. Sur la base de la décision de la justice de l’Union, le Datatilsynet a considéré « que les critères pour agir en urgence dans cette affaire sont remplis ».
Facebook et Instagram ne seront pas fermés aux Norvégiens, « L’objectif est plutôt de garantir que les personnes en Norvège puissent utiliser ces services de manière sécurisée et que leurs droits soient protégés », explique Tobias Judin. Meta aura aussi le droit de continuer à diffuser de la publicité personnalisée, uniquement basée sur les informations fournies par les utilisateurs eux-mêmes comme leur âge, lieu de résidence, goûts…
Dans une courte déclaration, l’entreprise américaine a confirmé « il n’y a pas d’impact immédiat sur nos services ». Elle s’est engagée à examiner la décision norvégienne. Elle a ajouté, faisant fi de la décision de justice, qu’un débat était toujours en cours sur les bases juridiques de la mise en conformité.
La procédure choisie par le Datatilsynet limite à trois mois maximum les sanctions prises contre Meta. L’autorité a rapporté se réserver le droit de saisir le Comité européen de la protection des données, qui a juridiction sur toutes les CNIL européennes, pour éventuellement prolonger ce délai en cas de non mise en conformité. La mesure pourrait également inspirer d’autres autorités européennes.