Mauvais début d’année pour Meta qui vient de se voir notifier une amende de 390 millions d’euros par la Cnil irlandaise. Le régulateur sanctionne les agissements de deux sociétés, Facebook à hauteur de 210 millions d’euros et Instagram pour 180 millions. Cette décision met fin à une affaire qui a démarré 2018 (exactement le 25 mai date de l’entrée en vigueur du RGPD) après deux plaintes déposées, l’une par un Autrichien en l’espèce Max Schrems (connu pour être à l’origine des annulations du Privacy Shield et du Safe Harbour) et l’autre par un Belge.

En l’espèce, Meta Ireland avait modifié ses conditions générales avant la date de mise en œuvre du RGPD où elle changeait notamment « la base juridique sur laquelle elle s'appuie pour légitimer son traitement des données à caractère personnel des utilisateurs (y compris de la publicité comportementale) ». Pour adopter cette nouvelle politique, les utilisateurs existants et récents étaient invités à cliquer sur le bouton « j’accepte » sous peine de ne plus avoir accès aux services. Les questions étaient donc : est-ce que le consentement des utilisateurs a été forcé ? Est-ce que le « contrat » passé entre Meta et les abonnés est-il conforme à l’article 6 du RGPD ?

Une amende révisée à la hausse par l’EDPB

Le débat a été long et houleux y compris au niveau des régulateurs européens. En effet, l’analyse du CPD irlandais n’a pas fait l’unanimité auprès des autres Cnil européennes. Il considérait par exemple que l’aspect du « consentement forcé » des plaintes ne pouvait être maintenu. De même, plusieurs autorités ont jugé les sanctions financières proposées trop faibles. Pour trancher, le comité européen de protection des données (EDPB) a été saisi et a rendu sa décision le 5 décembre dernier. Il a ainsi jugé que « Meta Ireland n'était pas en droit d'invoquer la base juridique du « contrat » comme fondement légal de son traitement des données à caractère personnel aux fins de la publicité comportementale. »

Il a demandé aussi de revoir à la hausse les amendes proposées par le régulateur irlandais. En quelques mois, c’est la deuxième amende que Meta se voit infliger par le CPD. En novembre dernier, la firme américaine a été condamnée à une sanction de 275 millions d’euros pour une affaire de data scraping. Dans les deux cas, Meta a toujours la possibilité de contester les décisions du régulateur auprès des juridictions européennes.