Javascript is required
logo-dastralogo-dastra

Instagram : une amende record de 405 millions d'euros

Instagram : une amende record de 405 millions d'euros
Maëva Vidal
Maëva Vidal
16 septembre 2022·5 minutes de lecture

Le 5 septembre 2022, le média américain Politico nous a annoncé la décision de l’autorité irlandaise de protection des données (DPA) d’infliger une amende de 405 millions d’euros à Instagram.

Il lui était reproché d'avoir publié les adresses e-mail et/ou numéros de téléphone d'enfants âgés entre 13 et 18 ans, qui ont utilisé des comptes professionnels sur Instagram sans qu'aucune approbation parentale ne soit demandée pour accéder à cette fonctionnalité.

L'intervention de l'Europe

Elle avait initialement eu une première lecture de l'affaire qui l’amenait à ne prendre aucune sanction contre le réseau social. Le Comité européen de la protection des données (CEPD) est donc intervenu dans une décision contraignante de règlement des différends du 28 juillet 2022.

Le CEPD a conclu que Instagram traitait illégalement les données personnelles des enfants sans fondement juridique et a demandé à la CNIL irlandaise de modifier son projet de décision.

La DPA a donc réévalué son amende, et condamné Instagram sur le fondement des articles 5(1)(a) et (c), 6(1)(b) et (f), 12(1), 24, 25(1) et (2) et 35(1) du Règlement Général sur la Protection des Données (RGPD).

Les violations du RGPD

L'illicéité du traitement

Conformément à l'article 6(1) du RGPD, il existe 6 bases légales permettant de fonder un traitement de données :

  • le consentement de la personne concernée ;
  • un contrat ou des mesures précontractuelles (b) ;
  • une obligation légale ;
  • la sauvegarde des intérêts vitaux ;
  • une mission d'intérêt public ;
  • des intérêts légitimes (f).

Instagram s'est appuyé sur l'exécution du contrat et les intérêts légitimes pour la publication des données personnelles des enfants.

Les deux organismes ont conclu que Instagram ne pouvait s'appuyer sur l'exécution du contrat pour ce traitement, celui-ci n'étant pas valable du fait de l'âge des personnes concernées.

Également, Instagram ne pouvait s'appuyer sur les intérêts légitimes car, même s'il existe un intérêt légitime, le traitement n'est pas nécessaire dans le sens où il n'est pas indispensable de divulguer les adresses emails et numéros de téléphone pour prendre contact avec la personne ayant un compte professionnel. De plus, le réseau social n'a pas pris en compte l'âge des personnes concernées par ce traitement, le nombre d'enfants étant estimé à 5 millions en 2020.

Pour en savoir plus sur l'évaluation des intérêts légitimes dans un traitement

Le non-respect de l'obligation de transparence

Conformément à l'article 5(1)(a) et (c) du RGPD, le responsable de traitement doit traiter les données à caractère personnel "de manière licite, loyale et transparente", et doivent être "adéquates, pertinentes et limitées à ce qui est nécessaire".

Il est reproché à Instagram de ne pas avoir satisfait à son obligation de transparence, les autres éléments de cet article n'étant pas cumulatifs pour constater un manquement à la réglementation. Instagram n'a pas informé de manière adéquate les enfants qui sont passés à un compte professionnel avant le 4 septembre 2019 de la suppression (après le 4 septembre 2019) de l'obligation de publier leurs coordonnées sur les profils professionnels Instagram.

Les risques pour les droits et libertés

Les articles 24 et 25 du RGPD exigent que les responsables du traitement prennent en compte les risques pour les droits et libertés des personnes physiques posés par le traitement des données à caractère personnel, et qu'ils mettent en œuvre des mesures et des garanties qui appliquent les principes de protection des données et protègent les droits des personnes concernées.

En l'occurrence, les comptes Instagram étaient paramétrés en "public" par défaut. De ce fait, les mineurs ayant mis leur compte en "professionnel" ont vu leur numéro de téléphone et/ou leur adresse email visibles pour tout le monde. De cette façon, les risques pour les droits et libertés des enfants ont nettement augmenté.

La DPA considère que des risques de fraude existent, puisqu'en 2021, 62% des utilisateurs de la plateforme ont été victime d'une forme d'escroquerie, ou encore un risque d'une collecte de masse (scraping de données). Le mineur risque également de recevoir du contenu inapproprié, ou d'être victime d'intimidation, par exemple.

Pour en savoir plus sur l'évaluation de la gravité et la probabilité d'un risque RGPD pour les personnes concernées

Dans cette situation, l'article 35 du RGPD exige une analyse d'impact sur la protection des données, puisque le traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques.

Instagram a considéré que les risques de ce traitement étaient faibles, et qu'il n'était pas nécessaire de produire une analyse d'impact.

La plateforme a donc violé les dispositions du RGPD, et a écopé d'une amende de 405 millions d'euros.

A propos de l'auteur
Maëva Vidal
Maëva Vidal
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.