RGPD : 390 millions d’euros d’amende pour Meta

Meta, ou plutôt sa filiale européenne Meta Ireland, vient de se voir infliger plusieurs amendes dont l'addition s'élève à 390 millions d'euros pour avoir enfreint le RGPD. Si ce montant est important et pourrait augmenter la semaine prochaine, il l'est beaucoup moins que les trois milliards provisionnés par l'entreprise en décembre pour se sécuriser à ce sujet.

C'est dans un communiqué de presse que la Data Protection Commission (DPC), l'équivalent de la CNIL en Irlande, a annoncé mercredi avoir infligé une amende de 210 millions d'euros à Meta Ireland pour la violation du RGPD par Facebook et une autre de 180 millions pour une autre violation du règlement européen par Instagram.

La filiale irlandaise a trois mois pour se mettre en conformité. Cette addition devrait s'alourdir la semaine prochaine avec une autre décision concernant la troisième plateforme du groupe, WhatsApp.

Dans un billet de blog, Meta indique vouloir « faire appel à la fois du fond des décisions et des amendes ».

L’association autrichienne de défense de la vie privée Noyb, qui avait déposé la plainte, qualifie dans un billet cette décision de « coup dur pour le modèle économique de Meta en Europe ».

Manque de transparence et non consentement

La plainte en non-conformité avec le RGPD avait été déposée contre Meta (nommée Facebook à l'époque) par Noyb le 25 mai 2018, jour de l'entrée en application du règlement européen. Le régulateur irlandais a finalement donné raison au plaignant en s'appuyant sur les articles 12, 13, 6 et 5 du RGPD.

À la date d'application du RGPD, l'entreprise avait changé les conditions d'utilisation de ses réseaux sociaux. S'appuyant sur l'article 6 du règlement européen, elle a considéré, pour ses plateformes Instagram et Facebook, qu'elle pouvait passer un contrat avec l'utilisateur en l'invitant à cliquer sur un bouton « J'accepte ». Ce contrat contenait l'acceptation de la plupart des opérations de traitement des données effectuées par l'entreprise et notamment les services personnalisés ainsi que la publicité comportementale.

La DPC considère que Meta n'a pas clairement exposé à ses utilisateurs les informations sur les opérations de traitement de leurs données à caractère personnel et leurs finalités.

Et après quelques tergiversations, le régulateur irlandais estime que Meta ne peut pas se fonder sur la base juridique du contrat pour la diffusion de publicité comportementale. Cette dernière position ne s'est pas prise sans un bras de fer avec plusieurs autres régulateurs européens.

Tensions entre régulateurs

En effet, la DPC n'a pas pris cette décision de façon spontanée. Elle avait, dans un premier temps, considéré que le RGPD n'empêchait pas Meta Ireland de se fonder sur la base juridique du contrat. Mais le règlement oblige les régulateurs européens à soumettre leurs décisions à leurs pairs dont une partie (dont la CNIL) s'est prononcée clairement contre cette interprétation.

En décembre, le Comité européen à la protection des données (CEPD) a tranché. « Le CEPD a adopté un point de vue différent sur la question de la « base juridique », estimant que, par principe, Meta Ireland n'était pas en droit d'invoquer la base juridique du « contrat » comme fondement légal de son traitement des données à caractère personnel aux fins de la publicité comportementale » explique la DPC elle-même dans son communiqué.

• Les publicités personnalisées sur Facebook, Instagram et WhatsApp déclarées illégales

Par ailleurs, dans son communiqué, la DPC exprime son mécontentement sur la demande que lui a faite le CEPD de mener une nouvelle enquête sur Meta. Selon le régulateur irlandais, le comité européen « n'a pas de rôle de supervision générale [...] à l'égard des autorités nationales indépendantes » et il lui est impossible « d'ordonner à une autorité de s'engager dans une enquête ouverte et spéculative ».

La DPC estime même qu' « il serait approprié d'introduire un recours en annulation devant la Cour de justice de l'Union Européenne ». Le site GRC World Forums précise que la DPC pourrait le faire en vertu de l'article 263 du traité sur le fonctionnement de l'Union européenne.

Une amende pas si élevée

L'addition des amendes concernant les réseaux sociaux Facebook et Instagram s'élève à 390 millions d'euros d'amende. Celle-ci n'est pas si élevée comparée aux trois milliards provisionnés par Meta pour l'ensemble de ces affaires. L'amende pouvait monter jusqu'à 2 milliards d'euros en calculant au prorata du chiffre d'affaires de l'entreprise.

• RGPD : Meta pourrait se voir infliger trois amendes de plus de 2 milliards d'euros

Noyb, l'association autrichienne plaignante, fait remarquer dans son communiqué que la DPC avait, au départ, fixé des amendes de 28 à 36 millions d'euros, « soit seulement 10 % de la décision finale de la CEPD ». Le régulateur irlandais qualifie ses premiers montants de propositions « d'amendes très importantes ». Mais la DPC a dû aussi céder sur le montant des amendes que ses pairs européens trouvaient bien trop faibles.

La semaine prochaine, la DPC devrait se prononcer sur le cas de Whatsapp. Si on peut s'attendre à une décision similaire, l'addition totale ne devrait pas monter jusqu'au 2 milliards initialement attendus.