accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Une amende record de 405 M€ infligée à Instagram pour violation du RGPD à l'égard des mineurs

AAI

Le régulateur irlandais de la protection de données (DPC) vient de publier sa décision finale clôturant l'enquête, ouverte en septembre 2020 à l'encontre de Meta Platforms Ireland Limited, relative à certains traitements de données personnelles des enfants utilisateurs du service de réseau social Instagram. Et l'amende est salée : 405 M€ pour manquements dans le traitement des données personnelles de mineurs ainsi qu'une série de mesures correctives. Il s'agit d'une décision historique. C'est la deuxième amende la plus élevée depuis l'entrée en vigueur du RGPD. C'est aussi la première décision à l'échelle de l'Union européenne sur les droits des enfants en matière de protection des données.

La décision finale de la DPC irlandaise est l'aboutissement d'un contrôle diligenté de sa propre initiative concernant d'une part, la publication, par Instagram, des adresses électroniques et/ou des numéros de téléphone des enfants qui ont un compte professionnel Instagram sur leurs profils et d'autre part, le paramétrage public, par défaut, des comptes personnels Instagram des enfants.

À la suite de cette enquête, la DPC, en tant qu'autorité de contrôle chef de file, a soumis un projet de décision à tous ses homologues européens. Six d'entre eux – dont la CNIL - ont soulevé des objections à ce projet, notamment en ce qui concerne la base juridique du traitement et la détermination de l'amende. La DPC irlandaise n'ayant pas été en mesure de parvenir à un consensus avec les autres régulateurs nationaux, elle a donc déclenché la procédure de règlement des litiges et renvoyé l'affaire au Comité européen de la protection des données (CEPD) conformément au processus de règlement des différends de l'article 65 du RGPD.

Décision contraignante du CEPD. - Dans sa décision contraignante du 28 juillet, le CEPD a rejeté de nombreuses objections, mais a confirmé celles visant à inclure une constatation de violation de l'article 6 (1) du RGPD et de réévaluer sa proposition d'amende administrative sur la base de cette infraction supplémentaire. Ce faisant, il a apporté des précisions supplémentaires sur l'applicabilité des bases juridiques de « l'exécution du contrat » et de « l'intérêt légitime ».

Meta s'appuyait alternativement sur ces deux bases juridiques pour la publication des adresses e-mail et/ou des numéros de téléphone des enfants qui utilisaient des comptes professionnels Instagram.

Le CEPD a estimé qu'il n'y avait aucune raison pour que la DPC juge que le traitement en cause était nécessaire à l'exécution d'un contrat. Par conséquent, Meta n'aurait pas pu se prévaloir de l'article 6 (1) (b) du RGPD comme base légale pour ce traitement.

En ce qui concerne l'intérêt légitime, en tant que base juridique alternative pour le traitement, le CEPD a constaté que la publication des adresses e-mail et/ou des numéros de téléphone des enfants ne répondait pas aux exigences de l'article 6 (1) (f) du RGPD, étant donné que le traitement était soit inutile soit, s'il devait être considéré comme nécessaire, n'a pas satisfait au test de mise en balance requis pour déterminer l'intérêt légitime.

Le CEPD a donc conclu que Meta traitait les données personnelles des enfants illégalement sans base légale et a chargé la DPC de modifier son projet de décision afin d'établir la violation de l'article 6 (1) RGPD.

Enfin, le CEPD a chargé la DPC de réévaluer son amende administrative envisagée conformément à l'article 83 (1) et (2) du RGPD, à savoir :
- infliger une amende administrative effective, proportionnée et dissuasive pour l'infraction supplémentaire, compte tenu de la nature et de la gravité de l'infraction, ainsi que du nombre de personnes concernées ;
- veiller à ce que les montants définitifs des amendes administratives soient effectifs, proportionnés et dissuasifs.

Décision définitive du régulateur irlandais. - Après avoir fait siennes ces modifications, la DPC a donc adopté sa décision finale le 2 septembre 2022 qui intègre les violations des articles 5 (1) (a), 5 (1) (c), 6 (1), 12 (1), 24, 25 (1), 25 (2) et 35 (1) du RGPD.

Le montant total de l'amende infligée à Meta s'élève à 405 M€, dont une amende de 20 M€ pour la violation de l'article 6 (1).

La DPC irlandaise a également infligé une réprimande et ordonné que Meta mette son traitement en conformité en prenant une série de mesures correctives spécifiques.

Meta a annoncé son intention de faire appel de cette décision, assurant avoir mis à jour les paramètres d'Instagram il y a plus d'un an : paramétrage privé par défaut du profil des utilisateurs âgés de moins de 18 ans et seules les personnes qu'ils connaissent peuvent voir leurs publications.

Il s'agit de la seconde plus grosse sanction jamais infligée pour violation du RGPD, après celle de 745 M€ prononcée à l'encontre d'Amazon. Concernant Meta, cette nouvelle amende est la troisième infligée par le régulateur irlandais contre l'une de ses sociétés (après WhatsApp en 2021 (225 M€) puis Facebook en mars dernier (17 M€).