Meta écope d’une nouvelle amende pour violation du RGPD

La Commission irlandaise pour la protection des données (DPC) a rendu deux décisions, mercredi (4 janvier), liées à des violations du règlement général sur la protection des données (RGPD) par Facebook et Instagram, deux réseaux sociaux appartenant à Meta.

Le commissaire irlandais à la protection des données a constaté des violations du RGPD auprès des réseaux sociaux Facebook et Instagram, qui appartiennent tous deux à la société Meta. La société mère écope ainsi de deux nouvelles amendes s’élevant respectivement à 210 millions d’euros et 180 millions d’euros.

Ces deux décisions constituent un revers majeur pour Meta, puisqu’elles risquent de compromettre l’ensemble de son modèle économique.

En effet, les décisions de la DPC concernent la base juridique du traitement des données personnelles à des fins de publicité ciblée, un élément qui se trouve au cœur du modèle économique de l’entreprise. La base juridique utilisée ayant été jugée incompatible avec la législation européenne en la matière, Meta dispose de trois mois pour en définir une nouvelle.

Les deux plaintes remontent au 25 mai 2018, date à laquelle le règlement de l’UE sur la protection des données est entré en application. Préalablement, les deux réseaux sociaux avaient modifié leurs conditions de service, demandant aux utilisateurs déjà inscrits comme aux nouveaux utilisateurs d’accepter le traitement de leurs données personnelles pour pouvoir utiliser leurs services.

Modèle de contrat

La base juridique actuelle de Meta consiste en un « modèle de contrat », ce qui signifie qu’en acceptant les conditions de service, les utilisateurs concluent un contrat avec la plateforme. En outre, la société estime que les données à caractère personnel sont nécessaires à l’exécution d’un tel contrat, qui comprend la fourniture de services personnalisés et de publicité comportementale.

La société Meta considère qu’elle est en ligne avec le RGPD, mais cette approche a été critiquée par NOYB, une ONG dirigée par le militant autrichien Max Schrems, qui l’a qualifiée de « contournement » du RGPD.

« Plutôt que d’avoir une option “oui/non” pour les publicités personnalisées, ils ont juste déplacé la clause de consentement dans les conditions d’utilisation. Ce n’est pas seulement injuste, c’est clairement illégal. Nous n’avons connaissance d’aucune autre entreprise qui a essayé d’ignorer le RGPD d’une manière aussi arrogante », a déclaré M. Schrems dans un communiqué.

Le consentement est vraisemblablement la base juridique la plus utilisée pour le traitement des données personnelles dans le cadre du RGPD. Plusieurs autres possibilités sont également autorisées et sont actuellement utilisées par d’autres grandes entreprises technologiques, comme l’intérêt légitime. Meta pourrait être en train de considérer ces différentes possibilités.

Des discussions animées

Dans sa décision préliminaire, la DPC a estimé que Meta n’avait pas respecté les obligations de transparence du RGPD. La Commission irlandaise estime que les informations fournies aux utilisateurs sur la manière dont leurs données personnelles sont traitées, à quelles fins et sur quelle base juridique, ne sont pas suffisamment claires.

Concernant la partie la plus importante de la plainte, l’autorité irlandaise s’est toutefois initialement rangée du côté de Meta, considérant que l’argument du « consentement forcé » ne tenait pas la route et que la base juridique du « contrat » était une alternative viable au consentement.

Selon des documents internes publiés par NOYB, le modèle même du contrat a été élaboré sur la base de discussions entre la DPC et Meta. Dans le système juridique anglo-saxon, il est relativement courant que les régulateurs soient en contact avec les entreprises pour leur indiquer la manière d’appliquer la loi — c’est beaucoup moins le cas en Europe continentale.

Décision finale

Le projet de décision de la DPC a été contesté par 10 autorités européennes de protection des données. Celles-ci contestaient le fait que la publicité personnalisée puisse être autorisée sur la base juridique du contrat, étant donné que la publicité personnalisée n’était pas considérée comme un élément essentiel de la fourniture des services personnalisés des plateformes.

Aucun consensus n’ayant été dégagé, l’affaire a été soumise au mécanisme de règlement des différends du Comité européen de protection des données (CEPD). Cet organe, qui regroupe toutes les autorités européennes de protection des données, a rendu une décision définitive contraignante le 5 décembre 2022.

Le Comité a largement confirmé la position de la DPC en ce qui concerne les violations de la transparence, mais a pris la position inverse sur la question de la base juridique. Il a en effet estimé que la base juridique de « contrat » n’était pas légale pour le traitement des données à caractère personnel à des fins de publicité comportementale.

Par ailleurs, l’organisme ayant découvert de nouvelles infractions, il a également revu à la hausse les amendes administratives initialement proposées, à savoir 36 millions d’euros pour Facebook et 23 millions d’euros pour Instagram.

« Nous pensons que notre approche est conforme au RGPD — et précédemment, la DPC ne s’est pas opposée à celle-ci. Nous sommes déçus par ces décisions et avons l’intention de faire appel à la fois de la teneur de la décision et de l’amende », a confié un porte-parole de Meta à EURACTIV.

L’affaire n’est pas encore terminée

Outre Facebook et Instagram, NOYB a pointé du doigt le service de messagerie WhatsApp, également propriété de Meta. Bien que la décision du CEPD relative à WhatsApp ait été prise en même temps que les deux autres en décembre, elle n’a été transmise à l’autorité irlandaise que la semaine suivante.

La DPC disposant d’un mois pour finaliser sa décision, l’enquête sur WhatsApp devrait se conclure la semaine prochaine, avec des conclusions similaires.

Par ailleurs, le CEPD a également invité la DPC à mener une nouvelle enquête sur les pratiques de traitement des données de Facebook et Instagram, notamment en ce qui concerne les catégories spéciales de données à caractère personnel.

L’autorité irlandaise considère toutefois que cette dernière partie de la décision du CEPD est excessive, faisant valoir que le Comité ne dispose pas du pouvoir d’instruire et de diriger le travail d’une autorité indépendante. Par conséquent, la DPC intentera un recours en annulation devant la Cour de justice de l’Union européenne (CJUE) concernant cet élément de la décision.

[Édité par Anne-Sophie Gayet]