L’autorité irlandaise sanctionne Meta pour défaut de licéité et de transparence
Suite à une décision contraignante du CEPD, l’autorité de protection des données irlandaise est revenue sur son projet de décision et a condamné Meta à une amende administrative totale de 390 millions d’euros pour manquement à son obligation de transparence et pour traitement illicite des données personnelles de ses utilisateurs.
Les faits. Suite à l’entrée en vigueur du RGPD le 25 mai 2018, la société META IRELAND a changé la base juridique sur laquelle elle s’appuyait pour justifier son traitement des données à caractère personnel des utilisateurs. Ce traitement ne s’appuyait plus sur le consentement des utilisateurs, mais sur la nécessaire exécution d’un contrat auquel la personne concernée est partie (Article 6-b du RGPD).
Dès lors, pour former ce contrat, les utilisateurs devaient cliquer sur « j’accepte » pour continuer d’avoir accès aux services de Facebook et Instagram après l’introduction du RGPD. Sans ce consentement, les réseaux sociaux n’étaient plus accessibles. Deux plaintes ont été déposées par l’association None of Your Business en Autriche (NYOB) arguant que META IRELAND forçait l’utilisateur à consentir au traitement de ses données à des fins de publicité comportementale en violation du RGPD.
Projet de décision de l’autorité irlandais de protection des données (DCP).
Sur la violation de l’article 12 du RGPD. Le DCP constate un manquement de META à son obligation de transparence au titre de l’article 12 du RGPD dès lors que la société n’a pas clairement exposé aux utilisateurs la base juridique sur laquelle reposait le traitement de leurs données personnelles et les finalités que poursuivaient ce traitement.
Le Comité confirme la position du DCP sur le manquement de META à son obligation de transparence, mais ajoute un manquement au devoir de loyauté et demande au DPC d’augmenter le montant des amendes infligées à la société.
Sur la base juridique invoquée. Le Comité n’a pas suivi le raisonnement de META et estime que, par principe, META IRELAND n’est pas en droit d’invoquer la base juridique de l’exécution contractuelle comme fondement légal de son traitement des données à caractère personnel à des fins de publicité comportementale.
Les décisions finales du DCP en date du 31 décembre 2022
Le fondement de l’exécution contractuelle pour justifier légalement son traitement des données à caractère personnel à des fins de publicité comportementale n’étant selon le Comité pas valide, le traitement réalisé constitue dès lors une violation de l’article 6 du RGPD.
À la lumière de ce nouveau manquement retenu, le montant des amendes administratives imposées à META IRELAND a été revu.
Facebook est donc condamné à une amende administrative de 210 millions et Instagram de 180 millions. L’injonction de mise en conformité dans un délai de 3 mois est par ailleurs maintenue.
Pour en savoir plus:
