Meta doit payer 390 millions d'euros d'amende pour des raisons de protection des données
En Irlande, Meta doit payer une amende d’un montant total de 390 millions d’euros pour des raisons de protection des données. Jusqu’à présent, le groupe exigeait dans ses conditions d’utilisation le consentement au traitement des données pour la publicité personnalisée. Or, cela est contraire au règlement général sur la protection des données (RGPD), vient de décider l’autorité irlandaise de protection des données (DPC). Selon l’organisation autrichienne Noyb, Meta devra à l’avenir demander le consentement de ses utilisateurs pour pouvoir utiliser leurs données personnelles à des fins publicitaires.
Meta permet à ses clients professionnels de diffuser des publicités personnalisées sur les plateformes Facebook et Instagram en fonction des activités en ligne des utilisateurs. Dans l’Union européenne, le RGPD régit les conditions dans lesquelles les données personnelles peuvent être traitées. En règle générale, le consentement des personnes concernées est nécessaire. Il existe toutefois des exceptions, par exemple lorsque les informations sont nécessaires à l’exécution d’un contrat : par exemple pour les services de livraison qui ont impérativement besoin d’une adresse.
Meta se réfère également à cette exception et a inscrit en 2018 le traitement des données à des fins publicitaires dans les conditions d’utilisation de ses services. Les personnes qui souhaitent utiliser Facebook ou Instagram doivent les accepter.
Enfreinte au RGPD
Cependant, Meta ne peut pas se référer à cette exception, comme l’a communiqué (en anglais) l’autorité irlandaise de protection des données. L’autorité irlandaise est compétente pour traiter de l’entreprise car son siège européen s’y trouve. Parce que les actions menées jusqu’à présent par le groupe sont contraires au RGPD, la DPC a prononcé deux amendes contre lui : 210 millions d’euros pour Facebook et 180 millions d’euros pour Instagram.
En outre, Meta doit mettre ses pratiques en matière de traitement des données en conformité avec le règlement général européen sur la protection des données dans un délai de trois mois. L’autorité n’a pas donné plus de détails à ce sujet.
Cette décision fait suite, entre autres, à une plainte déposée par l’organisation autrichienne Noyb en 2018, année d’entrée en vigueur du RGPD. Noyb avait en effet avancé le fait que l’accès aux services ne devait pas dépendre du consentement au traitement des données ; ceci est interdit par le RGPD.
Max Schrems de Noyb a commenté la décision qui vient d’être rendue : « C’est un coup dur pour les bénéfices de Meta dans l’UE. Tout le monde doit désormais pouvoir utiliser ces applications sans publicité personnalisée. Cette décision assure également des conditions de concurrence équitables avec les autres annonceurs, qui doivent également obtenir le consentement des utilisateurs ».
Meta a affirmé dans un communiqué (en anglais) être « déçu » par la décision et a annoncé son intention de faire appel. L’entreprise a également indiqué que la publicité personnalisée resterait possible sur ses plateformes.
Noyb, en revanche, a déclaré que suite à cette décision, Meta devrait à l’avenir demander à ses utilisateurs leur consentement pour l’utilisation de données personnelles à des fins publicitaires. Pour ce faire, Meta pourrait soit proposer une version supplémentaire de ses applications qui n’utiliserait pas les données personnelles à des fins publicitaires, ou bien proposer une option oui/non. Les utilisateurs devraient en outre pouvoir retirer leur consentement à tout moment, sans que le service ne leur soit limité.
Selon l’organisation, cela « limiterait drastiquement » les bénéfices de Meta dans l’UE. D’autres formes de publicité, par exemple contextuelles, resteraient toutefois possibles.
Le Comité européen de la protection des données avait dicté sa décision
L’autorité irlandaise de protection des données est régulièrement critiquée en raison de sa lenteur à réagir en cas de violation de la protection des données par les grands groupes de la tech. Dans ce cas aussi, Noyb critique l’autorité irlandaise : jusqu’à présent, elle n’a envoyé la décision qu’à Meta. En revanche, l’organisation n’aurait pas encore reçu le document en tant que partie, parce qu’elle pourrait soi-disant recevoir des informations confidentielles. Schrems s’est montré critique par rapport à cela : « En dix ans, en tant que juriste, je n’ai jamais vu une décision notifiée à une seule partie, mais pas à l’autre ».
L’autorité irlandaise de protection des données avait dans un premier temps considéré la démarche de Facebook comme admissible. Ce n’est qu’en raison d’un manque de transparence que l’autorité avait voulu imposer une sanction en matière de protection des données. Comme d’autres commissaires européens à la protection des données s’étaient opposés à cette décision éventuelle, le cas a toutefois fait l’objet d’une étude par le Comité européen de la protection des données (CEPD). Ce comité se compose de représentants des autorités nationales de protection des données et du Contrôleur européen de la protection des données.
En décembre, le CEPD avait mis en minorité l’autorité irlandaise (en allemand) et donné instruction de publier la décision correspondante.
Des amendes répétées sur la protection des données pour Meta
C’est déjà la cinquième fois depuis septembre 2021 que l’autorité irlandaise de protection des données oblige Meta à payer une lourde amende. En novembre, elle avait condamné le groupe à une sanction de 256 millions d’euros, après que les données de plus d’un demi-million d’utilisateurs de Facebook avaient été publiées sur Internet.
En septembre 2022, la DPC avait condamné Instagram à une amende de 405 millions d’euros pour violation des règles de protection de la vie privée des enfants. Auparavant, elle avait également infligé une amende de 17 millions d’euros à Meta et de 225 millions d’euros à sa filiale WhatsApp.
Meta a fait appel des décisions concernant Instagram et WhatsApp. (dpa / js)