La Commission irlandaise de protection des données inflige une lourde amende à Meta

Les amendes ne cessent de s’accumuler pour Meta, maison mère des réseaux sociaux Facebook, Instagram et WhatsApp. 

Meta Platforms, Inc., anciennement Facebook, Inc., fondé par Mark Zuckerberg, a été condamnée, le jeudi 4 janvier 2023, à une amende adressée par l’autorité irlandaise de protection des données (DPC). 

Bien triste record pour ce géant du web : Additionnée à deux autres décisions récentes rendues par la DPC, Meta cumule aujourd’hui près d’un milliard d’euros d’amendes. 

Pour quel motif Meta est-il sanctionné cette fois-ci ? Il lui est reproché d’avoir violé « ses obligations en matière de transparence » et de se fonder sur une base juridique erronée pour son traitement des données à caractère personnel à des fins de publicité ciblée. 

Contexte 

Le 25 mai 2018, date de l’entrée en vigueur du Règlement Général sur la Protection des données (RGPD), deux plaintes ont été déposées par des citoyens européens (l’un de nationalité autrichienne et l’autre belge) à l’encontre du groupe Meta. Les plaignants ont soutenu que le système utilisé par Meta Ireland, qui revient à subordonner « l’accessibilité de ses services à l’acceptation par les utilisateurs des conditions d’utilisation mises à jour », force les utilisateurs « à consentir au traitement de leur données personnelles à des fins de publicité comportementale et d’autres services personnalisés ». 

Formulé plus simplement, les plaignants accusaient le groupe Meta de réinterpréter le consentement des utilisateurs « comme un simple contrat de droit civil », qui ne permettait pas de refuser le recours à la publicité ciblée. 

Or, pour les plaignants, une telle pratique est contraire aux dispositions prévues par le RGPD.  

Concernant la violation de son obligation en matière de transparence 

Le principe de transparence, exigé par le RGPD, consiste à ce que toute information ou communication relative au traitement de données à caractère personnel soit « concise, transparente, compréhensible, et aisément accessible en des termes simples et clairs ». 

Or, il a été constaté que « les informations relatives à la base juridique invoquée par Meta Ireland n’ont pas été clairement communiquées aux utilisateurs ». Dès lors, ces derniers « n’ont pas eu suffisamment de clarté sur les opérations de traitement qui étaient effectuées sur leur compte ». Le DPC a estimé que ce manque de transparence contrevenait aux dispositions du RGPD, notamment aux articles 12 et 13 consacrant le principe de transparence, ainsi qu’à l’article 5 prévoyant que « les données à caractère personnel des utilisateurs doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée ». 

Concernant le fondement sur une base juridique erronée 

L’article 6 du RGPD liste les six bases légales possibles pour que le traitement des données soit licite. 

La première base légale prévue par cet article repose sur le consentement des utilisateurs : « lorsque la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques » le traitement de ses données est autorisé. 

Auparavant, c’est sur cette base légale que s’appuyait Meta pour traiter les données personnelles de ses utilisateurs dans le cadre de la fourniture des services de Facebook et d’Instagram, services incluant la publicité ciblée. 

Avant l’entrée en vigueur du RGPD, Meta a annoncé changer de base juridique sur laquelle il s’appuie pour légitimer son traitement des données personnelles des utilisateurs : il va chercher à s’appuyer sur la base juridique du contrat. 

En effet, le deuxième point de l’article 6 du RGPD prévoit que le traitement est licite lorsque celui-ci « est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ». 

Or, les utilisateurs, s’ils souhaitaient continuer à avoir accès aux services de Facebook et d’Instagram, étaient « forcés » à cliquer sur le bouton « J’accepte » pour indiquer leur acceptation aux conditions d’utilisations mises à jour. A défaut, les services ne leur étaient pas accessibles. 

Dès lors, Meta a considéré que, lors de l’acceptation des conditions d’utilisation mises à jour, un contrat a été conclu entre Meta et l’utilisateur. De plus, elle a considéré que le traitement des données des utilisateurs dans le cadre de la fourniture de ses services était nécessaire à l’exécution dudit contrat, de même que la fourniture de service personnalisés et la publicité comportementale. 

De leur côté, les plaignants ont estimé que le fait de subordonner l’accessibilité des services de Meta à l’acceptation par les utilisateurs des conditions d’utilisation les « forçait », en réalité, à consentir au traitement de leurs données personnelles. 

Si, dans un premier temps, il a été reconnu par le DPC que rien n’interdit à Meta de s’appuyer sur la base juridique du contrat, et non pas sur le consentement, pour le traitement des données personnelles de ses utilisateurs, sa décision finale a été tout autre. 

En effet, le DPC a conclu que Meta « n’est pas en droit de s’appuyer sur la base juridique du « contrat » dans le cadre de la diffusion de publicité comportementale dans le cadre de ses services Facebook et Instagram, et que son traitement des données des utilisateurs à ce jour, en s’appuyant sur la base juridique du « contrat », équivaut à une violation de l’article 6 du RGPD ». 

Une sanction suffisante ?

Suite à ces manquements, Meta se trouve dans l’obligation de mettre en place « une option de consentement oui/non » pour l’utilisation des données personnelles de ses utilisateurs, à défaut de quoi l’entreprise ne se trouve pas en mesure d’utiliser leurs données pour de la publicité ciblée. 

Le DPC a octroyé un délai de trois mois à Meta pour « mettre ses opérations de traitement de données en conformité ». 

Meta a également fait l’objet d’une sanction financière. Au départ, lorsque l’autorité irlandaise avait considéré que la base juridique du contrat utilisée par Meta était valide, l’amende suggérée se situait entre 26 et 36 millions d’euros pour défaut de transparence. 

Cependant, la Commission nationale de l’informatique et des libertés (CNIL), ainsi que d’autres régulateurs en Europe, avaient exprimé leur désaccord avec ce projet de sanction. Ces derniers estimaient que l’amende était « insuffisante ». 

La sanction initiale a finalement été revue à la hausse. L’entreprise a été condamnée à une amende de 390 millions d’euros : 210 millions d’euros à l’encontre de Facebook et 180 millions d’euros pour Instagram. 

Meta a affirmé son intention de faire appel de cette décision, « à la fois du fond et des amendes ». Elle estime qu’il y a un manque de clarté réglementaire sur cette question et déclare être en désaccord avec la décision rendue. 

Le différend doit désormais être examiné par la Cour de Justice de l’Union Européenne (CJUE), qui rendra une décision finale sur ce litige. 

Sources :  

Article Le Monde publié le 05/01/2023 : https://www.lemonde.fr/economie/article/2023/01/05/donnees-personnelles-meta-somme-de-changer-ses-pratiques-en-europe_6156716_3234.html

Article Le Monde publié le 04/01/2023 : https://www.lemonde.fr/pixels/article/2023/01/04/l-union-europeenne-inflige-390-millions-d-euros-d-amendes-a-meta-pour-violation-du-rgpd_6156613_4408996.html 

Article Siècle Digital publié le 04/01/2023 : https://siecledigital.fr/2023/01/05/lirlande-inflige-une-amende-de-390-millions-deuros-a-meta/ 

Communiqué rendu par la Data Protection Commission le 04/01/2023 : https://www-dataprotection-ie.translate.goog/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland?_x_tr_sl=en&_x_tr_tl=fr&_x_tr_hl=fr&_x_tr_pto=sc https://www.cnil.fr/fr/reglement-europeen-protection-donnees https://www.cnil.fr/fr/informer-les-personnes

Règlement général sur la protection des données (RGPD) : https://www.cnil.fr/fr/reglement-europeen-protection-donnees