Meta sanctionné d’une amende de 5,5 millions d’euros pour manquement au RGPD
La maison-mère de Facebook a de nouveau été sanctionnée pour son traitement des données personnelles, le 19 janvier. Il lui est cette fois reproché d’avoir utilisé celles-ci "à des fins d’amélioration du service et de sécurité", toujours sans le consentement des utilisateurs.
Une nouvelle sanction pour Meta. Après l’amende de 390 millions d’euros reçue début janvier, la maison-mère de Facebook s’en est vu infliger une autre le 19 janvier, de 5,5 millions d’euros, toujours par la Commission irlandaise pour la protection des données. Celle-ci agit pour le compte de l’Union européenne. La Commission reproche à Meta de ne pas avoir respecté ses "obligations en matière de transparence" et "son traitement des données personnelles à des fins d’amélioration du service et de sécurité" de sa messagerie WhatsApp, en dépit d’une base juridique erronée. Meta a désormais six mois pour "mettre ses opérations de traitement de données en conformité".
L’amende s’ajoute à une longue liste de sanctions déjà prises par l’UE contre Meta, qui détient les réseaux sociaux Facebook, Instagram et WhatsApp. Le traitement des données était déjà en cause en janvier, mais l’amende avait été beaucoup plus lourde car elles avaient cette fois été utilisées à des fins publicitaires, sur Facebook et Instagram. En septembre 2021, WhatsApp avait été sanctionné d’une amende de 225 millions d’euros pour le transfert de données d’utilisateurs vers Facebook sans le consentement des intéressés. En septembre 2022, Instagram avait dû débourser 405 millions d’euros en raison du manque de protection des données de ses utilisateurs mineurs. Et en novembre de la même année, Meta lui-même s’est vu infliger une autre amende de 265 millions d’euros pour ne pas avoir su protéger les données de ses utilisateurs, victimes d’un piratage sur Facebook pour 530 millions d’entre eux, en 2019.
Bataille d’influence entre la Commission irlandaise et son homologue européen
La Commission irlandaise pour la protection des données (DPC en anglais) représente l’UE dans ce domaine car le siège de Meta en Europe est situé à Dublin, en Irlande, réputée pour sa politique fiscale avantageuse envers les géants de la tech. La prise de ces sanctions contre Meta n’est toutefois pas allée sans heurts.
Le groupe californien considérait, depuis l’entrée en vigueur du règlement européen sur la protection des données (RGPD), qu’un "contrat" avait été passé entre les utilisateurs et Facebook lors de leur inscription sur le réseau social quant à l’usage de leurs données. Or, ce contrat est l’une l'une des six bases légales prévues par le RGPD permettant à un acteur public ou privé de traiter des données personnelles (en plus du respect d'une obligation légale, de l'intérêt vital, de l'exécution d'une mission de service public ou des intérêts légitimes d'une entreprise). Meta considérait que l’existence de ce contrat le dispensait de recueillir le consentement des utilisateurs, y compris si leurs données étaient utilisées à des fins publicitaires ou de suivi.
La Commission irlandaise sur la protection des données allait à l’époque dans son sens. Celle-ci avait par exemple proposé en décembre 2021 un projet de résolution validant la base juridique du géant de la tech, et l’amende qu’elle souhaitait infliger à WhatsApp pour le transfert de données vers Facebook ne dépassait pas les 50 millions d’euros. Face à la levée de boucliers de différentes Cnil européennes, le Comité européen de la protection des données (CEPD), qui les chapeaute, avait finalement invalidé l’argument juridique de Meta et exigé de la Commission irlandaise qu’elle revoie sa copie.
Les deux instances restent néanmoins à couteaux tirés : la DPC a refusé de mener la nouvelle enquête requise par le CEPD sur l’utilisation des données personnelles par Meta. Selon le gendarme irlandais du numérique, l’enquête demandée est trop vague, "ouverte et spéculative" ; il s’apprête à introduire un recours en annulation devant la justice européenne.