Recevez chaque jour toute l'actualité du numérique

x

La Cnil irlandaise condamne Meta à une amende de 17 millions d'euros pour violation du RGPD

Meta écope d'une amende de 17 millions d'euros dans le cadre de 12 violations de données personnelles de ses utilisateurs. Il a violé plusieurs obligations du RGPD, a jugé la Data Protection Commission. 
Twitter Facebook Linkedin Flipboard Email
×

La Cnil irlandaise condamne Meta à une amende de 17 millions d'euros pour violation du RGPD
La Cnil irlandaise condamne Meta à une amende de 17 millions d'euros pour violation du RGPD © Meta

La Data Protection Commission (DPC), l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil) en Irlande, a infligé le 15 mars une amende de 17 millions d'euros à Meta (ex-Facebook) pour 12 violations de données personnelles entre juin 2018 et décembre 2018.

Un défaut de protection
A l'issue de son enquête, la DPC a constaté que Meta avait violé plusieurs obligations du Règlement général sur la protection des données (RGPD). En particulier, il n'a pas mis en place "les mesures techniques et organisationnelles appropriées lui permettant de démontrer facilement les mesures de sécurité (…) mises en place pour protéger les données des utilisateurs de l'UE".

Meta n'a pas réfuté les allégations de l'autorité irlandaise. "Cette amende sanctionne des pratiques de 2018 que nous avons depuis mises à jour", a-t-il déclaré précisant qu'il ne s'agissait pas de punir "un manquement à la protection des informations des utilisateurs".

S'agissant d'un traitement de données transfrontalier, la DPC a dû soumettre son projet de décision à ses homologues. Deux d'entre eux ont soulevé des objections mais "un consensus" a finalement été trouvé grâce à "un dialogue plus approfondi". Notons que le montant de l'amende infligée est ridicule par rapport au chiffre d'affaires mondiales de Meta (17,7 milliards de dollars). 

Un guichet unique longtemps inerte
La DPC semble prendre peu à peu au sérieux ses missions au titre du RGPD. Pour rappel, elle est l'autorité référente des grandes entreprises technologiques qui ont leur siège social à Dublin (ce qui est le cas de la majorité d'entre elles). En effet, en vertu du "guichet unique", une société traitant des données dans un contexte transfrontalier n'a pour interlocutrice qu'une seule autorité de protection des données, à savoir l'autorité de l'Etat membre dans lequel est situé son établissement principal. 

Or, depuis l'entrée en vigueur du RGPD, elle est accusée de fermer les yeux sur certains comportements refusant d'ouvrir des enquêtes. D'après l'association autrichienne Noyb, seules 0,07% des plaintes introduites devant la DPC aboutissent. Un bilan défendu par la Commission européenne – elle-même accusée de mal appliquer la législation européenne – qui y voit de "la prudence" et non de l'inaction. Didier Reynders, commissaire européen à la justice, disait ne pas avoir "encore identifié de problèmes avec les règles irlandaises de protection des données ou n'a pas de preuves que ces règles n'ont pas été respectées".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.