Connexion
Abonnez-vous

RGPD : 390 millions d’euros d’amende pour Meta

Bonne année !

RGPD : 390 millions d'euros d'amende pour Meta

Le 05 janvier 2023 à 11h08

Meta, ou plutôt sa filiale européenne Meta Ireland, vient de se voir infliger plusieurs amendes dont l'addition s'élève à 390 millions d'euros pour avoir enfreint le RGPD. Si ce montant est important et pourrait augmenter la semaine prochaine, il l'est beaucoup moins que les trois milliards provisionnés par l'entreprise en décembre pour se sécuriser à ce sujet.

C'est dans un communiqué de presse que la Data Protection Commission (DPC), l'équivalent de la CNIL en Irlande, a annoncé mercredi avoir infligé une amende de 210 millions d'euros à Meta Ireland pour la violation du RGPD par Facebook et une autre de 180 millions pour une autre violation du règlement européen par Instagram.

La filiale irlandaise a trois mois pour se mettre en conformité. Cette addition devrait s'alourdir la semaine prochaine avec une autre décision concernant la troisième plateforme du groupe, WhatsApp.

Dans un billet de blog, Meta indique vouloir « faire appel à la fois du fond des décisions et des amendes ».

L’association autrichienne de défense de la vie privée Noyb, qui avait déposé la plainte, qualifie dans un billet cette décision de « coup dur pour le modèle économique de Meta en Europe ».

Manque de transparence et non consentement

La plainte en non-conformité avec le RGPD avait été déposée contre Meta (nommée Facebook à l'époque) par Noyb le 25 mai 2018, jour de l'entrée en application du règlement européen. Le régulateur irlandais a finalement donné raison au plaignant en s'appuyant sur les articles 12, 13, 6 et 5 du RGPD.

À la date d'application du RGPD, l'entreprise avait changé les conditions d'utilisation de ses réseaux sociaux. S'appuyant sur l'article 6 du règlement européen, elle a considéré, pour ses plateformes Instagram et Facebook, qu'elle pouvait passer un contrat avec l'utilisateur en l'invitant à cliquer sur un bouton « J'accepte ». Ce contrat contenait l'acceptation de la plupart des opérations de traitement des données effectuées par l'entreprise et notamment les services personnalisés ainsi que la publicité comportementale.

La DPC considère que Meta n'a pas clairement exposé à ses utilisateurs les informations sur les opérations de traitement de leurs données à caractère personnel et leurs finalités.

Et après quelques tergiversations, le régulateur irlandais estime que Meta ne peut pas se fonder sur la base juridique du contrat pour la diffusion de publicité comportementale. Cette dernière position ne s'est pas prise sans un bras de fer avec plusieurs autres régulateurs européens.

Tensions entre régulateurs

En effet, la DPC n'a pas pris cette décision de façon spontanée. Elle avait, dans un premier temps, considéré que le RGPD n'empêchait pas Meta Ireland de se fonder sur la base juridique du contrat. Mais le règlement oblige les régulateurs européens à soumettre leurs décisions à leurs pairs dont une partie (dont la CNIL) s'est prononcée clairement contre cette interprétation.

En décembre, le Comité européen à la protection des données (CEPD) a tranché. « Le CEPD a adopté un point de vue différent sur la question de la « base juridique », estimant que, par principe, Meta Ireland n'était pas en droit d'invoquer la base juridique du « contrat » comme fondement légal de son traitement des données à caractère personnel aux fins de la publicité comportementale » explique la DPC elle-même dans son communiqué.

Par ailleurs, dans son communiqué, la DPC exprime son mécontentement sur la demande que lui a faite le CEPD de mener une nouvelle enquête sur Meta. Selon le régulateur irlandais, le comité européen « n'a pas de rôle de supervision générale [...] à l'égard des autorités nationales indépendantes » et il lui est impossible « d'ordonner à une autorité de s'engager dans une enquête ouverte et spéculative ».

La DPC estime même qu' « il serait approprié d'introduire un recours en annulation devant la Cour de justice de l'Union Européenne ». Le site GRC World Forums précise que la DPC pourrait le faire en vertu de l'article 263 du traité sur le fonctionnement de l'Union européenne.

Une amende pas si élevée

L'addition des amendes concernant les réseaux sociaux Facebook et Instagram s'élève à 390 millions d'euros d'amende. Celle-ci n'est pas si élevée comparée aux trois milliards provisionnés par Meta pour l'ensemble de ces affaires. L'amende pouvait monter jusqu'à 2 milliards d'euros en calculant au prorata du chiffre d'affaires de l'entreprise.

Noyb, l'association autrichienne plaignante, fait remarquer dans son communiqué que la DPC avait, au départ, fixé des amendes de 28 à 36 millions d'euros, « soit seulement 10 % de la décision finale de la CEPD ». Le régulateur irlandais qualifie ses premiers montants de propositions « d'amendes très importantes ». Mais la DPC a dû aussi céder sur le montant des amendes que ses pairs européens trouvaient bien trop faibles.

La semaine prochaine, la DPC devrait se prononcer sur le cas de Whatsapp. Si on peut s'attendre à une décision similaire, l'addition totale ne devrait pas monter jusqu'au 2 milliards initialement attendus.

Commentaires (7)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Heu… j’ai l’impression que la Digital Protection Commission (DPC) change de sigle (CPD) en cours d’article ?
On a vraiment l’impression que cette DPC irlandaise fait tout pour protéger les grosses boites du monde du numérique dont les sièges sociaux sont installés en Irlande pays très gentil fiscalement envers eux.

votre avatar

Oui, vous avez raison tous les deux, j’ai eu un petit mélange dans le sigle. C’est corrigé. Merci

votre avatar

DPC et CPD c’est la même chose ?

votre avatar

Ah! La tradition des étrennes!

votre avatar

Est-ce que la décision “in extenso” précise si elle impose l’arrêt immédiat du traitement ou s’ils doivent reposer la question aux utilisateurs sans ambiguité, ou s’ils doivent effacer les données récupérées de manière non consentie, ou s’il y aura des astreintes en cas de non application immédiate des mesures… ?

votre avatar

Je me rappelle d’un article ici sur la CNIL irlandaise il y a quelques mois qui montrait qu’elle avait un comportement plus que louche… ne se battant vraiment pas et laissant tomber très rapidement la très grande majorité des cas qu’il lui étaient adressés par les autres pays européens, vu que beaucoup de boîtes de tech ont basé leur siège en Irlande donc les autres CNILs ne peuvent pas poursuive eux mêmes…

votre avatar

Meta(vers), c’est plus fort que toi.

RGPD : 390 millions d’euros d’amende pour Meta

  • Manque de transparence et non consentement

  • Tensions entre régulateurs

  • Une amende pas si élevée

Fermer