Blog Données personnelles
Amende record d’un montant de 450 millions d’euros pour Instagram suite à l’intervention du CEPD pour défaut de protection des données des mineurs
À la suite de la décision contraignante de règlement des différends du Comité européen pour la protection des données (ci-après le « CEPD ») du 28 juillet 2022 [1], le régulateur irlandais de la protection des données (ci-après « DPC » - équivalent irlandais de la CNIL) a adopté sa décision concernant Instagram (Meta Platforms Ireland Limited – ci-après « Meta IE ») et a émis une amende record d’un montant de 450 millions d’euros sur le fondement du RGPD.
La décision finale de la DPC irlandaise est l’aboutissement d’un contrôle diligenté de sa propre initiative concernant d’une part, la publication par Instagram des adresses électroniques et/ou des numéros de téléphone des enfants ayant un compte professionnel Instagram sur leurs profils et d’autre part, le paramétrage public, par défaut, des comptes personnels Instagram des enfants.
L’enquête était ouverte depuis 2020. À la suite de cette enquête, la DPC irlandaise, en tant qu’autorité de contrôle chef de file, avait soumis un projet de décision à tous ses homologues européens. Six d’entre eux, dont la CNIL, avaient soulevé des objections à ce projet, notamment concernant la base juridique du traitement et la détermination de l’amende. Dans ce contexte de non-consensus, la DPC irlandaise a déclenché la procédure de règlement des litiges et renvoyé l’affaire au CEPD conformément au processus de règlement des différends prévu à l’article 65 du RGPD.
Dans sa décision contraignante du 28 juillet dernier, le CEPD a rejeté de nombreuses objections, mais a confirmé celles visant à inclure une constatation de violation de l’article 6 (1) du RGPD et de réévaluer sa proposition d’amende administrative sur la base de cette infraction supplémentaire. Ce faisant, il a apporté des précisions supplémentaires sur l’applicabilité des bases juridiques de « l’exécution du contrat » et de « l’intérêt légitime ».
Meta IE s’appuyait alternativement sur ces deux bases juridiques pour la publication des adresses e-mail et/ou des numéros de téléphone des enfants qui utilisaient des comptes professionnels Instagram.
Le CEPD a estimé qu’il n’y avait aucune raison pour que la DPC irlandaise juge que le traitement en cause était nécessaire à l’exécution d’un contrat. Par conséquent, Meta IE n’aurait pas pu se prévaloir de l’article 6 (1) (b) du RGPD comme base légale pour ce traitement.
En ce qui concerne l’intérêt légitime, en tant que base juridique alternative pour le traitement, le CEPD a constaté que la publication des adresses e-mail et/ou des numéros de téléphone des enfants ne répondait pas aux exigences de l’article 6 (1) (f) du RGPD, étant donné que le traitement était soit inutile soit, s’il devait être considéré comme nécessaire, n’a pas satisfait au test de mise en balance requis pour déterminer l’intérêt légitime.
Le CEPD a donc conclu que Meta IE traitait les données personnelles des enfants illégalement sans base légale et a chargé la DPC irlandaise de modifier son projet de décision afin d’établir la violation de l’article 6 (1) RGPD.
Il s’agit de la première décision contraignante du CEPD portant sur l’un des piliers fondamentaux du droit européen de la protection des données : la licéité du traitement conformément à l’article 6 du RGPD. C’est aussi la première décision à l’échelle européenne sur les droits des enfants en matière de protection des données. Avec cette décision contraignante, le CEPD indique très clairement que les entreprises qui ciblent les enfants doivent dorénavant être plus que prudentes.
[1] Binding Decision 2/2022 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Meta Platforms Ireland Limited (Instagram) under Article 65(1)(a) GDPR