L’Union européenne inflige 390 millions d’euros d’amendes à Meta pour violation du RGPD

Le groupe Meta, la maison mère de Facebook, s’est vu infliger, mercredi 4 janvier, deux amendes d’un montant total de 390 millions d’euros pour violation du règlement général sur la protection des données (RGPD), a annoncé la commission irlandaise pour la protection des données (DPC), qui agit au nom de l’Union européenne. Meta a violé « ses obligations en matière de transparence » et se fondait sur une base juridique erronée « pour son traitement des données à caractère personnel à des fins de publicité » ciblée, a expliqué le régulateur irlandais dans un communiqué.

Cette sanction fait suite à l’adoption, au début de décembre, de trois décisions contraignantes du Comité européen de la protection des données (CEPD), le régulateur du secteur au niveau communautaire. Les deux premières concernaient des infractions liées aux réseaux sociaux Facebook, pour lequel l’amende s’élève à 210 millions d’euros, et Instagram, autre filiale de Meta, visé par les 180 millions d’euros restants. La dernière, concernant WhatsApp, a été notifiée plus tard à la DPC et fera l’objet d’une décision la semaine prochaine.

L’association de défense de la vie privée Noyb, à l’origine des trois plaintes, avait accusé Meta de réinterpréter le consentement « comme un simple contrat de droit civil », qui ne permet pas de refuser la publicité ciblée. En octobre 2021, l’autorité irlandaise avait proposé un projet de décision qui validait la base juridique utilisée par Facebook et suggérait une amende de 26 à 36 millions d’euros pour défaut de transparence. La Commission nationale de l’informatique et des libertés (CNIL) et d’autres régulateurs en Europe avaient exprimé leur désaccord avec ce projet de sanction.

Lire aussi : Article réservé à nos abonnés Les licenciements chez Meta, un revers pour Mark Zuckerberg

Meta va faire appel

Ils avaient demandé au CEPD de juger le différend ; ce dernier leur a donné raison sur la question de la base juridique. L’association Noyb s’est félicitée, mercredi, d’une décision qui forcera Meta à mettre en place « une option de consentement oui/non » pour l’utilisation des données personnelles de ses utilisateurs, faute de quoi l’entreprise « ne peut pas utiliser leurs données pour une publicité personnalisée ».

L’entreprise dispose de trois mois pour « mettre ses opérations de traitement de données en conformité », a précisé la DPC dans son communiqué. Meta s’est dit « déçu » des décisions et a l’intention de faire appel, « à la fois du fond et des amendes ». « Le débat autour des bases juridiques » pour le traitement des données personnelles « dure depuis un certain temps et les entreprises sont confrontées à un manque de certitudes réglementaires sur la question », estime l’entreprise.

« Ces décisions n’empêchent pas la publicité ciblée ou personnalisée » et « les annonceurs peuvent continuer à utiliser nos plates-formes pour atteindre des clients potentiels, développer leur activité et créer de nouveaux marchés », ajoute Meta. L’entreprise estime en outre que la DPC ne lui impose pas de mettre en place une option de consentement et dit évaluer une variété de solutions pour changer la base légale du traitement des données. Une source proche de Meta a précisé que la base légale de « l’intérêt légitime », prévue par le RGPD, était examinée par l’entreprise.

Lire la chronique : Article réservé à nos abonnés Snap, Meta : « Baisse de la publicité et changement de mode se combinent pour former un cercle vicieux, d’où il est bien difficile de sortir »

L’autorité irlandaise a déjà condamné Meta en septembre à une amende de 405 millions d’euros pour des manquements dans le traitement des données de mineurs et en novembre à une amende de 265 millions d’euros pour ne pas avoir protégé suffisamment les données de ses utilisateurs.

Le Monde avec AFP