Depuis l’avènement des réseaux sociaux, la protection des mineurs est devenue une des préoccupations majeures, notamment avec la publication du RGPD (règlement général sur la protection des données) le 27 avril 2016, entré en vigueur le 25 mai 2018. En effet, d’après une étude menée par Diplomeo sur l’usage des réseaux sociaux par la génération Z (personnes nées entre 1997 et 2010), cette dernière est proclamée être la génération utilisant le plus les réseaux sociaux, notamment Instagram (84%), Snapchat (76%) et Tik tok (52%) en 2022. Cette utilisation massive des plateformes de réseaux sociaux ne fait que favoriser de potentiels risques de mauvais traitements des données personnelles des utilisateurs.
Les données personnelles des mineurs en danger…
En octobre 2020, alors que plusieurs plaintes avaient été émises à l’encontre d’Instagram aux motifs que la plateforme laissait accessibles de manière publique les adresses e-mails et les numéros de téléphone de plusieurs utilisateurs mineurs, une enquête relative au traitement des données personnelles des enfants âgés de 13 ans à 17 ans utilisant Instagram a été diligentée par la Data Protection Commission irlandaise (l’équivalent de la CNIL française). Il s’agissait plus particulièrement de la possibilité de changer un profil Instagram standard en compte professionnel, ce qui impliquait nécessairement que les coordonnées des utilisateurs soient rendues publiques. C’est notamment ce que l’analyse de David Stier, Data Scientist ayant lui-même porté plainte, avait mis en avant en déclarant qu’Instagram « aurait pu exposer les données personnelles de plus de 5 millions d’utilisateurs en dessous de l’âge légal ».
À la suite de l’enquête que la DPC a elle-même introduite, celle-ci a, en sa qualité d’autorité de contrôle cheffe de file, proposé un projet de décision qui a fait l’objet de plusieurs contestations de la part des autres autorités de contrôle européennes, dont la CNIL. Ces contestations portaient notamment sur l’article 6 (1) du RGPD qui traite de la licéité du traitement des données personnelles, notamment quant à la base juridique du traitement et à la détermination du montant de l’amende.
En effet, Instagram a justifié la publication des adresses électroniques et des numéros de téléphone en s’appuyant sur l’article 6 (1) (b) et (f) du RGPD qui rend licite le traitement des données personnelles à condition que le traitement soit « nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci » ou qu’il soit « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ».
À défaut d’accord unanime sur le sujet, La DPC s’est donc vue contrainte de déclencher la procédure de règlement des litiges qui est opérée par le comité européen de la protection des données (CEPD), par laquelle celle-ci trouve ses fonctions à l’article 63 et 65 du RGPD. Ainsi, le CEPD a jugé qu’Instagram n’a pu se prévaloir de l’article 6 (1) (b) et (f) et que par conséquent, le traitement opéré par celui-ci avait été effectué sans base légale (par opposition à la DPC qui avait considéré que le traitement était nécessaire à l’exécution d’un contrat). De ce fait, la DPC a dû revoir son barème à la hausse quant au montant de l’amende afin de prendre en compte la violation de l’article ci- dessus nommé.
Une sanction très lourde, loin devant WhatsApp et Facebook
À l’issue de la décision contraignante du CEPD le 28 juillet 2022, la DPC a dû se conformer à l’avis de ce dernier et imposer une lourde sanction à l’encontre de Meta Platforms Ireland Limited (Meta IE) le 2 septembre 2022, sanction qui répond aux exigences de l’article 83 du RGPD relatif aux conditions générales pour imposer des amendes administratives. En effet, l’amende administrative doit répondre à un triptyque qui est le suivant : l’amende doit être effective, proportionnée et dissuasive, et tenir compte de plusieurs éléments tels que la nature et la gravité de l’infraction (qui n’est autre que l’application pure et simple du principe de personnalisation des peines).
Ainsi, la DPC a donc sanctionné Instagram d’une amende atteignant les 405 millions d’euros pour manquement dans le traitement des données personnelles des utilisateurs mineurs et donc pour violation du RGPD. Cette amende devient à ce jour l’amende la plus élevée parmi toutes les sanctions écopés par Meta Platforms, loin devant WhatsApp qui avait écopé d’une amende de 225 millions d’euros en 2021 (pour défaut d’obligation d’information en matière de données personnelles), et de Facebook qui s’est vue être sanctionnée d’une amende de 17 millions d’euros en mars 2022.
De plus, cette sanction entre également dans les annales du droit des données personnelles puisqu’il s’agit de la première décision prise par l’Union européenne relative aux droits des mineurs et à la protection de leurs données personnelles. L’amende infligée par Instagram devient de facto, la seconde sanction la plus onéreuse jamais infligée pour violation du RGPD depuis l’entrée en vigueur de celui-ci en 2018, la première étant l’amende de 745 millions d’euros infligée à Amazon.
Un certain droit à l’indemnisation pour violation du RGPD
Afin de rendre justice à la partie lésée qui se retrouverait victime d’un mauvais traitement de ses données personnelles par un responsable de traitement ou par un sous-traitant, le RGPD donne l’opportunité à celle-ci d’obtenir réparation du préjudice subi au visa de l’article 82 du RGPD qui traite du droit à réparation et des responsabilités. En effet, l’article 82-1 du RGPD dispose que : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant, réparation du préjudice subi ».
En outre, en vertu de l’article 79 du RGPD relatif au droit à un recours juridictionnel effectif contre un responsable de traitement ou contre un sous-traitant, les mineurs, les parents des mineurs ou encore leurs représentants légaux pourront agir devant les juridictions françaises ou devant les juridictions d’un autre État membre de l’Union Européenne dans lequel le responsable de traitement ou le sous-traitant dispose d’un établissement, ou l’État dans lequel la victime a sa résidence habituelle. Il est également opportun de rappeler que le droit à réparation se retrouve également dans le considérant 146 du RGPD.
Le refus d’Instagram d’endosser le poids de ses responsabilités
En réponse à la sanction que la DPC a infligée à Meta IE, celle-ci a décidé de faire appel de la décision. En effet, Meta reproche à la DPC de ne pas avoir pris en considération la modification qu’avait opérée Instagram sur ses paramètres de confidentialité, un an avant le début de l’enquête. La modification des paramètres consistait en la suppression de l’affichage public des informations de contact des utilisateurs ayant basculé d’un compte standard à un compte professionnel (même si ceux-ci restaient tout de même accessibles dans le code source HTML dans la version web d’Instagram), et le paramétrage privé par défaut pour les utilisateurs mineurs.
De plus, toujours selon Instagram, celui-ci aurait pris en mars 2021 de « nouvelles fonctionnalités pour assurer la sécurité des adolescents et la confidentialité de leurs informations ». Désormais, lorsque le mineur voudra faire basculer son compte privé en compte professionnel, un message automatique lui sera envoyé pour lui faire rappeler les avantages de conserver un compte privé, mais également pour lui faire rappeler de vérifier les paramètres.
Vers un avancement des systèmes de sécurité en vue de la protection des utilisateurs mineurs des réseaux sociaux
Afin de répondre à une logique de sécurisation des données personnelles des mineurs sur les réseaux sociaux, Meta a mis en place de nouvelles fonctionnalités permettant de restreindre le contact entre les utilisateurs mineurs et adultes, et a également instauré une sorte de contrôle parentale qui permettrait de limiter le temps d’écran.
De surcroît, elle a également fait entendre son projet d’ajouter une nouvelle technologie d’intelligence artificielle afin de pouvoir vérifier l’âge des utilisateurs par un système de reconnaissance faciale. En effet, Instagram a récemment collaboré avec Yoti, une start-up spécialisée dans la vérification de l’identité, l’estimation de l’âge, la signature électronique et les technologies anti-usurpation d’IA, afin de développer un algorithme permettant de reconnaitre les traits du visage d’un utilisateur et donc de détecter plus facilement les mineurs qui tenteraient de mentir sur leurs âges réels. Le but final de cette association serait donc que dans un futur proche, les utilisateurs mineurs voulant changer les paramètres relatifs à leurs dates de naissance, soient obligés de filmer les traits de leurs visages et d’envoyer la vidéo à Meta qui, par la suite, laissera l’algorithme de reconnaissance faciale analyser et déterminer l’âge, avant de supprimer définitivement la vidéo.
La protection des données personnelles des mineurs : un problème récurrent des réseaux sociaux
Un autre réseau social particulièrement tendance depuis la crise sanitaire, à savoir Tik Tok, devrait prendre exemple sur son concurrent Instagram puisqu’en effet, celui-ci serait dans la ligne de mire de la Garante per la protezione dei dati personali (GPDP), qui est l’autorité de contrôle italienne, concernant la protection des mineurs sur la plateforme. Un avertissement aurait déjà été communiqué au CEPD en juillet dernier, il ne manque plus qu’à voir quelles seront les précautions que Tik Tok prendra afin d’éviter le même sort qu’Instagram… Affaire à suivre !
Sources :
- Communiqué du CEPD : https://www.cnil.fr/fr/amende-record-lencontre-dinstagram-la-suite-de-lintervention-du-comite-europeen-pour-la-protection
- Décision contraignante du CEPD : https://edpb.europa.eu/system/files/2022-09/
- LexisVeille : https://www.lexisveille.fr/une-amende-record-de-405-meu-infligee-instagram-pour-violation-du-rgpd-legard-des-mineurs