Javascript is required
logo-dastralogo-dastra

Meta sanctionné 2 fois par la DPC irlandaise pour 390 millions d'euros

Jérôme de Mercey
Jérôme de Mercey
4 janvier 2023·10 minutes de lecture

2 sanctions à l'encontre de Meta

L'autorité de protection des données irlandaise (DPC) a annoncé aujourd'hui la conclusion de deux enquêtes sur les opérations de traitement des données de Meta Platforms Ireland Limited ("Meta Ireland") dans le cadre de la fourniture de ses services Facebook et Instagram. (Meta Ireland était auparavant connue sous le nom de Facebook Ireland Limited).

Les décisions finales ont été rendues par la DPC, qui a infligé à Meta Ireland une amende de 210 millions d'euros (pour des violations du RGPD liées à son service Facebook) et de 180 millions d'euros (pour des violations liées à son service Instagram).

Meta Ireland a également été sommée de mettre ses opérations de traitement des données en conformité dans un délai de 3 mois.

Deux plaintes de 2018

Les enquêtes concernaient deux plaintes relatives aux services Facebook et Instagram, chacune soulevant les mêmes questions fondamentales. Une plainte a été déposée par une personne concernée autrichienne (en rapport avec Facebook) ; l'autre a été déposée par une personne concernée belge (en rapport avec Instagram).

Les plaintes ont été déposées le 25 mai 2018, date à laquelle le RGPD est entré en vigueur.

Contrat ou consentement ?

Avant le 25 mai 2018, Meta Ireland avait modifié les conditions de service de ses services Facebook et Instagram. Elle a également signalé le fait qu'elle changeait la base juridique sur laquelle elle s'appuie pour légitimer son traitement des données à caractère personnel des utilisateurs. (En vertu de l'article 6 du RGPD, le traitement des données n'est licite que si et dans la mesure où il est conforme à l'une des six bases juridiques identifiées).

Après s'être précédemment appuyée sur le consentement des utilisateurs au traitement de leurs données personnelles dans le cadre de la fourniture des services de Facebook et d'Instagram (y compris la publicité comportementale), Meta Ireland a désormais cherché à s'appuyer sur la base juridique du "contrat " pour la plupart (mais pas toutes) de ses opérations de traitement.

S'ils souhaitaient continuer à avoir accès aux services de Facebook et d'Instagram après l'introduction du RGPD, les utilisateurs existants (et les nouveaux) étaient invités à cliquer sur "J'accepte" pour indiquer leur acceptation des conditions de service mises à jour. (Les services ne seraient pas accessibles si les utilisateurs refusaient de le faire).

Meta Ireland a considéré qu'en acceptant les conditions de service mises à jour, un contrat était conclu entre Meta Ireland et l'utilisateur. Elle a également adopté la position selon laquelle le traitement des données des utilisateurs dans le cadre de la fourniture de ses services Facebook et Instagram était nécessaire à l'exécution de ce contrat, pour inclure la fourniture de services personnalisés et de publicité comportementale, de sorte que ces opérations de traitement étaient légales par référence à l'article 6, paragraphe 1, point b), du RGPD (la base juridique "contrat" du traitement).

Les plaignants ont soutenu que, contrairement à la position déclarée de Meta Ireland, cette dernière cherchait en fait toujours à s'appuyer sur le consentement pour fournir une base légale à son traitement des données des utilisateurs. Ils ont fait valoir qu'en subordonnant l'accessibilité de ses services à l'acceptation par les utilisateurs des conditions de service mises à jour, Meta Ireland les "forçait" en fait à consentir au traitement de leurs données personnelles à des fins de publicité comportementale et d'autres services personnalisés. Les plaignants ont fait valoir que cela constituait une violation du RGPD.

Deux enquêtes de la DPC et des manquements au RGPD

À la suite d'enquêtes approfondies, la DPC a préparé des projets de décision dans lesquels il a formulé un certain nombre de conclusions contre Meta Ireland. Il a notamment constaté que :

  1. En violation de ses obligations en matière de transparence, les informations relatives à la base juridique invoquée par Meta Ireland n'étaient pas clairement exposées aux utilisateurs, de sorte que ces derniers ne savaient pas clairement quelles opérations de traitement étaient effectuées sur leurs données à caractère personnel, pour quelle(s) finalité(s), et par référence à laquelle des six bases juridiques identifiées à l'article 6 du RGPD. La DPC a estimé qu'un manque de transparence sur des questions aussi fondamentales contrevenait aux articles 12 et 13, paragraphe 1, point c), du RGPD. Elle a également estimé que cela constituait une violation de l'article 5, paragraphe 1, point a), qui consacre le principe selon lequel les données à caractère personnel des utilisateurs doivent être traitées de manière licite, loyale et transparente. La DPC a proposé des amendes très importantes à Meta Ireland en ce qui concerne la violation de ces dispositions et lui a ordonné de mettre ses opérations de traitement en conformité dans un délai défini et court.
  2. Dans les circonstances où il a constaté que Meta Ireland ne s'appuyait pas, en fait, sur le consentement des utilisateurs comme base légale pour le traitement de leurs données personnelles, l'aspect "consentement forcé" des plaintes ne pouvait être maintenu. La DPC a ensuite examiné si Meta Ireland se fondait sur le "contrat" comme base juridique pour le traitement des données à caractère personnel des utilisateurs dans le cadre de la fourniture de ses services personnalisés (y compris la publicité personnalisée). En l'espèce, la DPC a estimé que Meta Ireland n'était pas tenue de se fonder sur le consentement ; en principe, le RGPD n'empêchait pas Meta Ireland de se fonder sur la base juridique du contrat.

Une décision contraignante rendue par l'EDPB

Dans le cadre d'une procédure mandatée par le RPGD, les projets de décisions préparés par le DPC ont été soumis à ses pairs régulateurs dans l'UE/EEE, également connus sous le nom d'autorités de surveillance concernées ("CSA").

Sur la question de savoir si Meta Ireland avait agi en violation de ses obligations de transparence, les CSA ont approuvé les décisions de la DPC, même si elles ont estimé que les amendes proposées par la DPC devraient être augmentées.

Dix des 47 CSA ont soulevé des objections concernant d'autres éléments des projets de décision (dont une a été retirée par la suite dans le cas du projet de décision relatif au service Instagram).

En particulier, ce sous-ensemble de CSA a estimé que Meta Ireland ne devrait pas être autorisée à se fonder sur la base juridique du contrat au motif que la diffusion de publicités personnalisées (dans le cadre de la série plus large de services personnalisés offerts dans le cadre des services Facebook et Instagram) ne pouvait pas être considérée comme nécessaire pour exécuter les éléments essentiels de ce qui était considéré comme une forme de contrat beaucoup plus limitée.

La DPC n'a pas été d'accord, reflétant son opinion selon laquelle les services Facebook et Instagram comprennent, et semblent en fait être fondés sur la fourniture d'un service personnalisé qui comprend une publicité personnalisée ou comportementale.

En effet, il s'agit de services personnalisés qui comportent également des publicités personnalisées. Selon la DPC, cette réalité est au cœur du marché conclu entre les utilisateurs et le fournisseur de services qu'ils ont choisi, et fait partie du contrat conclu au moment où les utilisateurs acceptent les conditions de service.

À l'issue d'un processus de consultation, il est apparu qu'un consensus ne pouvait être atteint. Conformément aux obligations qui lui incombent en vertu du RGPD, la DPC a ensuite soumis les points litigieux au Comité européen de protection des données ("EDPB").

L'EDPB a rendu ses conclusions le 5 décembre 2022.

Les décisions de l'EDPB ont rejeté un grand nombre des objections soulevées par les CSA. Elles ont également confirmé la position de la DPC en ce qui concerne le manquement de Meta Ireland à ses obligations de transparence, sous réserve uniquement de l'ajout d'un manquement supplémentaire (au principe d'"équité") et d'une instruction demandant à la DPC d'augmenter le montant des amendes qu'il proposait d'imposer.

L'EDPB a adopté un point de vue différent sur la question de la "base juridique", estimant que, par principe, Meta Ireland n'était pas en droit d'invoquer la base juridique du "contrat" comme fondement légal de son traitement des données à caractère personnel aux fins de la publicité comportementale.

Les décisions finales adoptées par la DPC le 31 décembre 2022 reflètent les déterminations contraignantes de l'EDPB telles qu'énoncées ci-dessus.

En conséquence, les décisions de la DPC comprennent des conclusions selon lesquelles Meta Ireland n'est pas en droit de se fonder sur la base juridique " contrat " en ce qui concerne la diffusion de publicité comportementale dans le cadre de ses services Facebook et Instagram, et que son traitement des données des utilisateurs à ce jour, en se fondant prétendument sur la base juridique " contrat ", constitue une violation de l'article 6 du RGPD.

En termes de sanctions, et à la lumière de cette infraction supplémentaire au RGPD, la DPC a augmenté le montant des amendes administratives imposées à Meta Ireland à 210 millions d'euros (dans le cas de Facebook) et à 180 millions d'euros dans le cas d'Instagram. (Les niveaux révisés de ces amendes reflètent également le point de vue de la DPC en ce qui concerne les manquements de Meta Ireland à ses obligations en matière de traitement équitable et transparent des données personnelles des utilisateurs).

L'exigence existante de la DPC selon laquelle Meta Ireland doit mettre ses opérations de traitement en conformité avec le RGPD dans un délai de 3 mois a été maintenue.

Une nouvelle enquête à mener

Par ailleurs, l'EDPB a également demandé à la DPC de mener une nouvelle enquête portant sur l'ensemble des opérations de traitement des données de Facebook et d'Instagram et d'examiner les catégories particulières de données à caractère personnel qui peuvent ou non être traitées dans le cadre de ces opérations.

Les décisions de la DPC ne font naturellement pas référence aux nouvelles enquêtes sur l'ensemble des opérations de traitement des données de Facebook et d'Instagram qui ont été ordonnées par l'EDPB dans ses décisions contraignantes.

Contestation de la DPC

La DPC considère que l'EDPB n'a pas un rôle de supervision générale semblable à celui des tribunaux nationaux à l'égard des autorités nationales indépendantes et qu'il n'est pas possible à l'EDPB d'instruire et d'ordonner à une autorité de s'engager dans une enquête ouverte et spéculative.

Elle considère ainsi que l'instruction est donc problématique en termes juridictionnels et ne semble pas cohérente avec la structure des accords de coopération et de cohérence établis par le RPGD.

Dans la mesure où l'instruction peut impliquer un dépassement de la part de l'EDPB, la DPC considère qu'il serait approprié d'introduire un recours en annulation devant la Cour de justice de l'UE afin de demander l'annulation des instructions de l'EDPB.

A propos de l'auteur
Jérôme de Mercey
Jérôme de Mercey

Cofondateur de Dastra

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.