Blog Données personnelles

La Commission irlandaise pour la protection des données (DPC) prononce une amende de 390 millions d’euros à l’encontre de META IRELAND

Le 4 janvier 2023, la Commission irlandaise pour la protection des données (DPC) a communiqué [1] la clôture de deux enquêtes à propos des traitements de données personnelles effectuées par Meta Ireland dans le cadre de la fourniture de ses services Facebook et Instagram.

Dans son communiqué, la Commission irlandaise indique que le groupe Meta Ireland (anciennement Facebook Ireland Limited) s’est vu infliger une amende globale de 390 millions d’euros pour violation du Règlement général sur la protection des données (« RGPD ») : 210 millions d’euros pour Facebook et 180 millions d’euros pour Instagram.

Le 25 mai 2018, date d’entrée en application du RGPD, deux plaintes avaient été déposées à l’encontre de Facebook et Instagram. Avant cette date, Meta Ireland avait modifié la base légale des traitements effectués par Facebook et Instagram, passant du consentement au contrat, par l’acceptation des nouvelles conditions générales d’utilisation.

Pour Meta, le traitement des données personnelles des utilisateurs aux fins de la fourniture de services personnalisés et de publicité ciblée était nécessaire pour l’exécution du contrat conclu avec l’utilisateur.

Les plaignants relevaient quant à eux, qu’en conditionnant l’accès de Facebook et Instagram à l’acceptation des conditions générales d’utilisation, Meta s’appuyait en réalité sur la base légale du consentement pour procéder à de la publicité ciblée, ce consentement « forcé » ne répondant pas aux critères exigés par le RGPD.

Dans un premier temps, la Commission irlandaise a estimé que :

  • Meta Ireland a méconnu son obligation de transparence (articles 12 et 13 (1) (c) du RGPD) en ne communiquant pas une information claire sur les finalités ainsi que la base juridique du traitement.

En revanche, Meta Ireland ne s’étant pas fondé sur la base légale du consentement mais sur celui de l’exécution contractuelle, il ne peut y avoir caractérisation d’un consentement « forcé » des utilisateurs ;

En application du mécanisme de coopération prévu à l’article 60 du RGPD, ce projet de décision a été soumis aux autres autorités de protection de données. Plusieurs autorités de protection des données ont retenu que l’amende prévue dans le projet de décision de la Commission irlandaise était de faible nature et ne reflétait pas la gravité du manquement. De plus, ces autorités ont estimé que Meta Ireland ne devrait pas être autorisé à se fonder sur la base juridique du contrat, jugeant que la diffusion de publicité personnalisée ne pouvait être considérée comme nécessaire à l’exécution des éléments essentiels de ce qui peut s’apparenter à une « forme limitée de contrat » avec l’utilisateur.

La Commission irlandaise estime pour sa part que Facebook et Instagram proposent dans le cadre de leurs services de la publicité ciblée ; par conséquent au moment de l’acceptation des conditions générales d’utilisation, l’utilisateur en réalité souscrit à cette offre de publicité ciblée et conclut un contrat entre autres à cette fin.

Le 5 décembre 2022, en l’absence d’un consensus, le Comité européen de la Protection des Données (CEPD) a conclu dans le sens :

  • d’une augmentation du montant de l’amende en raison du manquement à l’obligation de garantir un traitement loyal et transparent,
  • l’entreprise ne pouvait invoquer la base légale du contrat pour justifier le traitement des données personnelles aux fins de la publicité ciblée

Meta a annoncé vouloir faire appel de la décision. Pour sa part, la Commission irlandaise estime que le CEPD a effectué un dépassement de fonction en lui ordonnant de diligenter une nouvelle enquête sur toutes les opérations de traitement de données par Facebook et Instagram. Elle a annoncé dans le même temps saisir la Cour de Justice de l’Union européenne pour annuler certains aspects de la décision allant au-delà de l’affaire initiale [2].