Une amende record de 405 M€ infligée à Instagram pour violation du RGPD à l'égard des mineurs
Le régulateur irlandais de la protection de données (DPC) vient de publier sa décision finale clôturant l'enquête, ouverte en septembre 2020 à l'encontre de Meta Platforms Ireland Limited, relative à certains traitements de données personnelles des enfants utilisateurs du service de réseau social Instagram. Et l'amende est salée : 405 M€ pour manquements dans le traitement des données personnelles de mineurs ainsi qu'une série de mesures correctives. Il s'agit d'une décision historique. C'est la deuxième amende la plus élevée depuis l'entrée en vigueur du
La décision finale de la DPC irlandaise est l'aboutissement d'un contrôle diligenté de sa propre initiative concernant d'une part, la publication, par Instagram, des adresses électroniques et/ou des numéros de téléphone des enfants qui ont un compte professionnel Instagram sur leurs profils et d'autre part, le paramétrage public, par défaut, des comptes personnels Instagram des enfants.
À la suite de cette enquête, la DPC, en tant qu'autorité de contrôle chef de file, a soumis un projet de décision à tous ses homologues européens. Six d'entre eux – dont la CNIL - ont soulevé des objections à ce projet, notamment en ce qui concerne la base juridique du traitement et la détermination de l'amende. La DPC irlandaise n'ayant pas été en mesure de parvenir à un consensus avec les autres régulateurs nationaux, elle a donc déclenché la procédure de règlement des litiges et renvoyé l'affaire au Comité européen de la protection des données (CEPD) conformément au processus de règlement des différends de l'
Décision contraignante du CEPD. - Dans sa décision contraignante du 28 juillet, le CEPD a rejeté de nombreuses objections, mais a confirmé celles visant à inclure une constatation de violation de l'article 6 (1) du
Meta s'appuyait alternativement sur ces deux bases juridiques pour la publication des adresses e-mail et/ou des numéros de téléphone des enfants qui utilisaient des comptes professionnels Instagram.
Le CEPD a estimé qu'il n'y avait aucune raison pour que la DPC juge que le traitement en cause était nécessaire à l'exécution d'un contrat. Par conséquent, Meta n'aurait pas pu se prévaloir de l'article 6 (1) (b) du
En ce qui concerne l'intérêt légitime, en tant que base juridique alternative pour le traitement, le CEPD a constaté que la publication des adresses e-mail et/ou des numéros de téléphone des enfants ne répondait pas aux exigences de l'article 6 (1) (f) du
Le CEPD a donc conclu que Meta traitait les données personnelles des enfants illégalement sans base légale et a chargé la DPC de modifier son projet de décision afin d'établir la violation de l'article 6 (1)
Enfin, le CEPD a chargé la DPC de réévaluer son amende administrative envisagée conformément à l'article 83 (1) et (2) du
- infliger une amende administrative effective, proportionnée et dissuasive pour l'infraction supplémentaire, compte tenu de la nature et de la gravité de l'infraction, ainsi que du nombre de personnes concernées ;
- veiller à ce que les montants définitifs des amendes administratives soient effectifs, proportionnés et dissuasifs.
Décision définitive du régulateur irlandais. - Après avoir fait siennes ces modifications, la DPC a donc adopté sa décision finale le 2 septembre 2022 qui intègre les violations des articles 5 (1) (a), 5 (1) (c), 6 (1), 12 (1), 24, 25 (1), 25 (2) et 35 (1) du
Le montant total de l'amende infligée à Meta s'élève à 405 M€, dont une amende de 20 M€ pour la violation de l'article 6 (1).
La DPC irlandaise a également infligé une réprimande et ordonné que Meta mette son traitement en conformité en prenant une série de mesures correctives spécifiques.
Meta a annoncé son intention de faire appel de cette décision, assurant avoir mis à jour les paramètres d'Instagram il y a plus d'un an : paramétrage privé par défaut du profil des utilisateurs âgés de moins de 18 ans et seules les personnes qu'ils connaissent peuvent voir leurs publications.
Il s'agit de la seconde plus grosse sanction jamais infligée pour violation du