La Commission irlandaise de protection des données (DPC) inflige deux amendes à Meta : l’une pour Facebook (210 millions) et l’autre pour Instagram (180 millions). Vu l’avis contraignant de décembre dernier émis par le CEPD, la DPC n’avait pas le choix mais elle fait de la résistance : outre le montant (faible) des amendes, elle attaque en justice la décision du CEPD. Le conflit risque de mettre à mal la confiance sur laquelle repose le mécanisme du « chef de file » créé par le RGPD.
La DPC a rendu deux décisions concernant Meta Platforms Ireland Limited (« Meta Ireland »), infligeant une amende de 210 millions d’euros (pour des violations du GDPR liées à son service Facebook) et de 180 millions d’euros (pour des violations liées à son service Instagram).
La CPD a aussi émis une injonction de mise en conformité dans un délai de 3 mois.
Ces décisions sont le résultat de plaintes déposées le 25 mai 2018, date d’entrée en vigueur du GDPR. Cinq ans de procédure …
Jusqu’à l’entrée en vigueur du RGPD, Meta faisait reposer ses traitements de données personnelles, y compris la publicité comportementale, sur le « consentement » de l’utilisateur.
Juste avant le 25 mai 2018, date d’entrée en vigueur du RGPD, Meta Ireland a modifié ses conditions de service, signalant qu’elle changeait cette base de licéité : du consentement, elle passait à l’exécution du « contrat » pour la plupart (mais pas tous) des traitements.
Objectif de la manœuvre : le RGPD ne permettant plus sérieusement de considérer que le consentement était valablement recueilli (libre, spécifique, informé, etc.), il fallait passer à une autre base de licéité ou arrêter la publicité comportementale. Meta a donc considéré que la publicité comportementale était « nécessaire » à l’exécution du contrat d’utilisation du réseau. Du même coup, Meta se débarrassait de toutes les contraintes liées au consentement (retrait, etc.) et reprenait totalement la main sur ses traitements.
En mai 2018, s’ils souhaitaient continuer à avoir accès aux services de Facebook et d’Instagram après l’introduction du GDPR, les utilisateurs existants (et les nouveaux) étaient invités à cliquer sur « J’accepte » pour indiquer leur acceptation des conditions de service mises à jour. A défaut, les services n’étaient plus accessibles.
Nous avons déjà consacré une actu à la problématique de fond et y renvoyons.
En substance, les plaintes déposées le jour même de l’entrée en vigueur du RGPD considéraient que :
La DPC a mené (très lentement) l’enquête et abouti aux constats suivants :
La DPC donnait donc raison à Facebook sur l’essentiel.
Conformément au RGPD, le projet de décision de la DPC a été adressé aux autorités nationales des autres pays impliqués, sans qu’un consensus soit trouvé.
Vu l’absence de consensus, le dossier est arrivé sur la table du Comité européen de protection des données (CEPD).
Le CEPD a rendu son avis contraignant le 5 décembre 2022 :
S’agissant d’une décision contraignante, la DPC a bien dû s’y soumettre … pour l’instant.
Les décisions de la DPC infligent donc deux amendes à Meta Ireland : 210 millions d’euros (dans le cas de Facebook) et 180 millions d’euros (dans le cas d’Instagram). De jolies sommes, certes, mais un montant sans commune mesure avec les enjeux.
Meta Ireland doit aussi se mettre en conformité dans un délai de 3 mois.
Par ailleurs, le CEPD a également demandé au DPC de mener une nouvelle enquête portant sur l’ensemble des opérations de traitement des données de Facebook et d’Instagram, et d’examiner les catégories particulières de données à caractère personnel qui peuvent ou non être traitées dans le cadre de ces opérations. La DPC irlandaise estime que le CEPD est sans compétence pour demander l’ouverture d’une enquête et elle annonce demander en justice l’annulation des instructions de l’EDPB.
La critique de la DPC quant au pouvoir d’injonction du CEPD n’est pas dénuée d’intérêt. Y a-t-il une place dans le RGPD pour ce genre d’injonction, alors que le principe de l’autorité chef de file est clairement posé et confie à une seule autorité la supervision de ses « clients » ? La question se pose. Peut-être la réponse est-elle dans l’esprit plus que dans la forme : non le CEPD ne peut pas enjoindre (au sens juridique et contraignant) une autorité d’enquêter, mais les autorités nationales ayant le devoir de superviser activement leurs « clients », elle doivent ouvrir une enquête si elles ont des raisons de soupçonner une violation du RGPD. Or, la demande du CEPD constitue un tel soupçon.
Pour autant, l’essentiel n’est pas là.
La vraie inquiétude provient du fait que le principe de l’autorité chef de file repose sur une condition fondatrice sine qua non : la confiance réciproque.
Or, il est désormais acquis que :
Aussi bien sur le fond (ses positions très isolées ainsi que le montant des amendes) que sur la forme (la manière dont elle gère les enquêtes et plaintes), la DPC entend faire de l’Irlande un paradis data friendly pour les GAFAM, et qu’elle est prête à déterrer la hache de guerre pour arriver à ses fins.
Les autorités des autres pays membres, ainsi que le parlement européen, ont perdu toute confiance dans la DPC que certains voudraient mettre sous tutelle (voir à ce sujet les déclarations du médiateur européen).
Si le CEPD émet une demande d’enquête, c’est en définitive parce que la DPC ne le fait pas elle-même et que la façon dont elle gère les plaintes pose de nombreuses questions (accès au dossier, transparence, délai, etc.).
Vous avez dit confiance ?
Les deux décisions de la DPC dont disponibles en annexe
Source : Droit & Technologies