Meta sanctionné d’une amende de 5,5 millions d’euros pour manquement au RGPD

La maison-mère de Facebook a de nouveau été sanctionnée pour son traitement des données personnelles, le 19 janvier. Il lui est cette fois reproché d’avoir utilisé celles-ci "à des fins d’amélioration du service et de sécurité", toujours sans le consentement des utilisateurs.

Partager
Meta sanctionné d’une amende de 5,5 millions d’euros pour manquement au RGPD
Le traitement des données était déjà en cause en janvier, mais l’amende avait été beaucoup plus lourde car elles avaient cette fois été utilisées à des fins publicitaires, sur Facebook et Instagram.

Une nouvelle sanction pour Meta. Après l’amende de 390 millions d’euros reçue début janvier, la maison-mère de Facebook s’en est vu infliger une autre le 19 janvier, de 5,5 millions d’euros, toujours par la Commission irlandaise pour la protection des données. Celle-ci agit pour le compte de l’Union européenne. La Commission reproche à Meta de ne pas avoir respecté ses "obligations en matière de transparence" et "son traitement des données personnelles à des fins d’amélioration du service et de sécurité" de sa messagerie WhatsApp, en dépit d’une base juridique erronée. Meta a désormais six mois pour "mettre ses opérations de traitement de données en conformité".

L’amende s’ajoute à une longue liste de sanctions déjà prises par l’UE contre Meta, qui détient les réseaux sociaux Facebook, Instagram et WhatsApp. Le traitement des données était déjà en cause en janvier, mais l’amende avait été beaucoup plus lourde car elles avaient cette fois été utilisées à des fins publicitaires, sur Facebook et Instagram. En septembre 2021, WhatsApp avait été sanctionné d’une amende de 225 millions d’euros pour le transfert de données d’utilisateurs vers Facebook sans le consentement des intéressés. En septembre 2022, Instagram avait dû débourser 405 millions d’euros en raison du manque de protection des données de ses utilisateurs mineurs. Et en novembre de la même année, Meta lui-même s’est vu infliger une autre amende de 265 millions d’euros pour ne pas avoir su protéger les données de ses utilisateurs, victimes d’un piratage sur Facebook pour 530 millions d’entre eux, en 2019.

Bataille d’influence entre la Commission irlandaise et son homologue européen

La Commission irlandaise pour la protection des données (DPC en anglais) représente l’UE dans ce domaine car le siège de Meta en Europe est situé à Dublin, en Irlande, réputée pour sa politique fiscale avantageuse envers les géants de la tech. La prise de ces sanctions contre Meta n’est toutefois pas allée sans heurts.

Le groupe californien considérait, depuis l’entrée en vigueur du règlement européen sur la protection des données (RGPD), qu’un "contrat" avait été passé entre les utilisateurs et Facebook lors de leur inscription sur le réseau social quant à l’usage de leurs données. Or, ce contrat est l’une l'une des six bases légales prévues par le RGPD permettant à un acteur public ou privé de traiter des données personnelles (en plus du respect d'une obligation légale, de l'intérêt vital, de l'exécution d'une mission de service public ou des intérêts légitimes d'une entreprise). Meta considérait que l’existence de ce contrat le dispensait de recueillir le consentement des utilisateurs, y compris si leurs données étaient utilisées à des fins publicitaires ou de suivi.

La Commission irlandaise sur la protection des données allait à l’époque dans son sens. Celle-ci avait par exemple proposé en décembre 2021 un projet de résolution validant la base juridique du géant de la tech, et l’amende qu’elle souhaitait infliger à WhatsApp pour le transfert de données vers Facebook ne dépassait pas les 50 millions d’euros. Face à la levée de boucliers de différentes Cnil européennes, le Comité européen de la protection des données (CEPD), qui les chapeaute, avait finalement invalidé l’argument juridique de Meta et exigé de la Commission irlandaise qu’elle revoie sa copie.

Les deux instances restent néanmoins à couteaux tirés : la DPC a refusé de mener la nouvelle enquête requise par le CEPD sur l’utilisation des données personnelles par Meta. Selon le gendarme irlandais du numérique, l’enquête demandée est trop vague, "ouverte et spéculative" ; il s’apprête à introduire un recours en annulation devant la justice européenne.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS