Le 4 janvier 2023, la Commission de protection des données irlandaise (ci-après DPC) a sanctionné le géant américain Meta d’une amende de 390 millions d’euros (210 millions pour des violations liées à Facebook et 180 millions pour des violations liées à Instagram) pour avoir manqué à ses obligations sur la transparence des données traitées.

 

Meta est également tenu de mettre ses traitements de données personnelles en conformité avec la réglementation, dans un délai de 3 mois.

 

Deux plaintes avaient été déposées le 25 mai 2018, date d’entrée en application du Règlement européen général sur la protection des données (ci-après RGPD), en raison de problèmes liés à la base juridique des traitements de données personnelles réalisés par Meta. 

 

Après s’être fondé sur le consentement, Meta a souhaité se fonder sur l’exécution du contrat pour la plupart de ses traitements.

 

Le DPC a considéré que Meta a manqué de transparence sur a base juridique des traitements ; les utilisateurs ne sachant pas clairement qu’elle en était la finalité, en violation de l’article 5 du RGPD prévoyant que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente.

 

L’intervention du CEPD 

 

Préalablement à cette sanction, les projets de décisions préparés par le DPC ont été soumis à ses pairs européens, lesquels n’ont pas été unanimes sur le sujet. 

Le DPC avait alors soumis les points litigieux au Comité européen de protection des données (ci-après CEPD) qui a adopté trois décisions le 5 septembre 2022 dans le cadre de la procédure de règlement des litiges prévue par l’article 65 du RGPD.

 

Ces décisions interviennent ainsi pour donner suite aux projets de décisions de l’autorité de protection des données irlandaise, chef de file concernant les plateformes de Meta en raison de la présence du siège social européen de Meta dans son pays.

 

Institué par le RGPD, le CEPD est un organe européen indépendant qui contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne et encourage la coopération entre autorités de l’UE chargées de la protection des données.

 

À ce titre, le CEPD intervient en cas de désaccord entre les autorités de protection des données européennes. 

 

C’est dans ce contexte que le CEPD a estimé que, par principe, Meta n’était pas en droit d’invoquer la base juridique du contrat comme fondement légal de son traitement de données à caractère personnel aux fins de la publicité comportementale, dit de « profiling ».

 

Par conséquent, le CEPD reprend la position du DPC en considérant que Meta a violé l’article 5 du RGPD en se fondant sur la base juridique de l’exécution du contrat.

​

 

L’ utilisation des données par Meta 

 

L’articulation entre Meta et la protection des données personnelles est au cœur de nombreux débats.

 

En effet, le ciblage publicitaire est l’un des principaux outils de Meta pour faire du profit.

 

Par la conclusion d’un contrat lors de son inscription, l’utilisateur pourrait potentiellement délivrer ses habitudes de navigation au réseau social ce qui le conduirait éventuellement à se retrouver face à de la publicité ciblée sans en avoir explicitement consentie.

 

Dans ses décisions, le CEPD répond à la question de savoir si l’on peut retenir l’exécution du contrat comme base légale appropriée, ou non, pour traiter des données personnelles dans le cadre de la publicité comportementale, dans le cas de Facebook et Instagram.

En outre, le CEPD a demandé à l’autorité de protection des données irlandaise d’émettre des ordonnances publiques reflétant les décisions prises par l’autorité européenne. 

 

C’est donc à l’initiative de cette demande que le DPC a sanctionné de 390 millions d’euros Meta, qui n’a pas fait appel de cette décision.