RGPD : retour sur l’amende record infligée à Instagram

25.09.2022

Gestion d'entreprise

L’autorité de contrôle irlandaise a revu sa copie à la lumière de la décision du Comité européen de la protection des données (CEPD) et a finalement imposé au réseau social une amende de 405 millions d’euros pour des manquements au traitement des coordonnées des utilisateurs mineurs. Jessica Eynard, maître de conférences HDR en droit à l’Université de Toulouse-Capitole, co-directrice de la Mention Droit du numérique, revient dans une chronique sur cette décision.

Saisi au titre du mécanisme de la cohérence instauré par le règlement général sur la protection des données (RGPD), le Comité européen de la protection des données (CEPD) a rendu, le 28 juillet 2022, une décision contraignante au sujet du service Instagram fourni par la société Meta (anciennement Facebook). Dans la foulée, l’autorité de contrôle chef de file - l’autorité irlandaise de protection des données (DPA) - a adopté sa décision le 2 septembre 2022. Le présent commentaire revient sur ces deux décisions importantes. 

Si l’affaire concerne le service Instagram, elle se focalise plus précisément sur le traitement de données personnelles effectué par la société Meta consistant : 

  • d’une part, en la divulgation publique d’adresses électroniques et/ou de numéros de téléphone d’enfants utilisateurs de la fonction de compte professionnel d’Instagram ; 

  • et, d’autre part, en l’utilisation d’un paramètre public par défaut pour les comptes personnels d’enfants utilisateurs sur Instagram. 

Pour opérer ces traitements, la société Meta se fondait sur deux bases légales : la nécessité du traitement pour l’exécution du contrat la liant aux utilisateurs (RGPD, art. 6, § 1, b) et, subsidiairement, sur l’intérêt légitime du responsable du traitement (RGPD, art. 6, § 1, f), dans le cas où les utilisateurs mineurs n’étaient pas en capacité de donner un consentement valable. Le CEPD revient sur chacune de ces bases légales pour aboutir à l’impossibilité de les retenir en l’espèce. 

L’invalidation de la base légale contractuelle 

L’article 6, § 1, point b) du RGPD dispose que le traitement est licite s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie. Il s’agissait ici des conditions générales d’utilisation du réseau social. 

Sur ce point, le CEPD revient sur la notion même de nécessité pour préciser que celle-ci doit être interprétée de manière stricte et que le responsable du traitement doit être en mesure de justifier la nécessité de celui-ci, par référence à l’objectif contractuel principal et compris par les co-contractants. Or, le Comité observe que l’information fournie exige un niveau élevé pour comprendre et qu’aucune information spécifique sur la fonction « Compte professionnel » n’a été fournie aux mineurs. Il en conclut que « la publication des coordonnées sur leurs profils ne pouvait pas avoir été raisonnablement attendue par ces enfants utilisateurs dans le cadre de leur utilisation d’Instagram » (point 93). 

Il ajoute que l’analyse de la nécessité exige de rechercher s’il existe ou non des moyens moins intrusifs. Il reproche alors à l’autorité irlandaise de ne pas avoir vérifié dans le projet de décision si d’autres moyens moins intrusifs étaient disponibles pour atteindre effectivement l’objectif poursuivi. A cet égard, il observe que la possibilité existante de contacter directement les utilisateurs par le biais de la messagerie directe au sein de la plateforme aurait dû être prise en compte (point 96). De la même façon, aurait dû être prise en compte la violation du principe de minimisation en lien avec la publication en texte clair des coordonnées dans le code source HTML du site internet d’Instagram (point 97). 

Logiquement, le CEPD conclut à l’absence de nécessité du traitement pour l’exécution du contrat entre la société Meta et les enfants utilisateurs. L’autorité irlandaise suit les préconisations du Comité en exigeant une plus grande spécificité de la finalité au moment d’effectuer un traitement de données personnelles nécessaire à l’exécution d’un contrat, afin que la conformité au RGPD puisse être évaluée par référence à des critères objectifs, et pour que les personnes concernées soient correctement informées des caractéristiques du traitement (point 121). 

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité (analyse du bilan, compte de résultat, prévisionnel, budgétisation...), de la finance (la gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (choix du statut juridique, contrats commerciaux, fiscalité)

Découvrir tous les contenus liés
L’invalidation de la base légale reposant sur les intérêts légitimes du responsable du traitement 

Utiliser ce fondement implique de réunir trois conditions cumulatives

Premièrement, il faut que le responsable du traitement prouve qu’il poursuit un intérêt légitime. Sur ce point, le Comité doute que les intérêts invoqués par la société Meta répondent à l’exigence de spécificité. Il admet ne pas pouvoir évaluer si ces intérêts sont « réels et légitimes (c’est-à-dire acceptables au regard de la loi) » et reproche à l’autorité irlandaise de ne pas avoir étayé son projet de décision à ce sujet. 

Deuxièmement, il faut vérifier la nécessité de traiter les données à caractère personnel pour atteindre les intérêts légitimes poursuivis. Ici, le Comité considère que l’approche adoptée dans son projet de décision par l’autorité irlandaise pour évaluer la nécessité du traitement est en grande partie erronée. Pour lui, seuls les intérêts du responsable du traitement auraient dû être pris en compte. Les avantages du traitement pour la personne concernée ne sont pas pertinents. Il note, en outre, que d’autres moyens de communiquer et d’entrer en contact existaient, ce qui prouve : 

  • d’une part, que les utilisateurs d’Instagram auraient pu atteindre l’intérêt légitime allégué d’entrer en contact avec des propriétaires de comptes d’entreprises même si leurs coordonnées n’étaient pas publiques ; 
  • et, d’autre part, que la société Meta pouvait réaliser son intérêt légitime allégué de créer, fournir, soutenir et maintenir des produits innovants qui permettent aux enfants de s’exprimer, de communiquer et de s’engager. 

Troisièmement, une balance doit être opérée entre les intérêts en présence, celui du responsable d’un côté, et les droits et libertés fondamentaux de la personne concernée, de l’autre. Dans cette analyse, plusieurs critères doivent être pris en compte, tels que : 

  • la probabilité que le risque se matérialise pour la personne concernée, 
  • la gravité des conséquences, 
  • les garanties adoptées par le responsable du traitement pour réduire tout impact indu sur la personne concernée, 
  • ainsi que les mesures mises en œuvre en termes de transparence et de proportionnalité. 

Sur ce point, l’analyse du projet de décision de l’autorité irlandaise ne convainc pas le CEPD qui estime que celle-ci « n’a pas correctement évalué l’impact du traitement lors de l’exercice de mise en balance [dès lors] qu’elle n’a pris en compte que les conséquences positives du traitement [sans s’attacher à] tous les autres éléments pertinents et aux risques qu’elle avait elle-même identifiés ». Pour lui, compte tenu de ces risques, de l’absence de mesures appropriées pour faire face à ces derniers, de l’absence d’information adéquate des personnes concernées concernant la publication et ses conséquences et de l’impossibilité de se soustraire à la publication, les intérêts et les droits et libertés fondamentaux des personnes concernées auraient dû prévaloir. 

En définitive, la base légale des intérêts légitimes du responsable du traitement ne peut être retenue pour le traitement mis en œuvre en l’espèce puisque « le traitement était soit inutile, soit, s’il devait être considéré comme nécessaire, il ne satisfaisait pas au critère de mise en balance ». Il faut en conclure que le traitement était opéré sans base légale, donc en violation de l’article 6 du RGPD. L’autorité irlandaise en arrive à la même conclusion dans sa décision (point 133). 

Elle pointe, en outre, une absence de transparence dans l’information fournie aux utilisateurs mineurs dont les messages sont rendus publics par défaut (point 184). Dans le même sens, elle considère que l’information sur la divulgation des coordonnées de ces utilisateurs n’a pas été fournie dans un langage clair et compréhensible avant le 4 septembre 2019, date à laquelle les pratiques de la société Meta ont changé (point 209). Elle remet encore en cause l’absence d’information, avant le 4 septembre 2019, de la suppression, après cette date, de l’obligation pour les utilisateurs de publier leurs coordonnées sur Instagram, au moment de passer à un compte professionnel (point 228).

Les coordonnées des utilisateurs publiées en clair dans le code source HTML

Elle reproche par ailleurs à la société Meta de ne pas avoir effectué d’analyse d’impact des traitements mis en œuvre sur la vie privée alors même que les risques qu’ils présentent peuvent être qualifiés d’élevés (points 397 et 408). Elle considère que les principes de minimisation, de protection de la vie privée par conception et d’accountability ont été violés dès lors que les coordonnées des utilisateurs ont été publiées en clair dans le code source HTML du site internet d’Instagram (points 446, 450 et 454). Elle observe que ces mêmes principes n’ont pas été respectés en ce qui concerne la divulgation des messages publiés par les utilisateurs. 

Une amende administrative devait être prononcée du fait de ces violations, à la lumière des critères établis par le RGPD. Le projet de décision prévoyait de sanctionner la société Meta de neuf amendes pour un montant total allant de 202 à 405 millions d’euros. Le Comité avait enjoint à l’autorité irlandaise d’estimer avec précision l’avantage financier tiré de cette violation par l’entreprise Meta et d’augmenter le montant de l’amende le cas échéant. Elle décide finalement de prononcer dix amendes correspondant au montant maximal envisagé, soit 405 millions d’euros. 

Jessica EYNARD
Vous aimerez aussi

Nos engagements