Le groupe Meta, la maison mère de Facebook, s’est vu infliger, mercredi 4 janvier, deux amendes d’un montant total de 390 millions d’euros pour violation du règlement général sur la protection des données (RGPD), a annoncé la commission irlandaise pour la protection des données (DPC), qui agit au nom de l’Union européenne. Meta a violé « ses obligations en matière de transparence » et se fondait sur une base juridique erronée « pour son traitement des données à caractère personnel à des fins de publicité » ciblée, a expliqué le régulateur irlandais dans un communiqué.
Cette sanction fait suite à l’adoption, au début de décembre, de trois décisions contraignantes du Comité européen de la protection des données (CEPD), le régulateur du secteur au niveau communautaire. Les deux premières concernaient des infractions liées aux réseaux sociaux Facebook, pour lequel l’amende s’élève à 210 millions d’euros, et Instagram, autre filiale de Meta, visé par les 180 millions d’euros restants. La dernière, concernant WhatsApp, a été notifiée plus tard à la DPC et fera l’objet d’une décision la semaine prochaine.
L’association de défense de la vie privée Noyb, à l’origine des trois plaintes, avait accusé Meta de réinterpréter le consentement « comme un simple contrat de droit civil », qui ne permet pas de refuser la publicité ciblée. En octobre 2021, l’autorité irlandaise avait proposé un projet de décision qui validait la base juridique utilisée par Facebook et suggérait une amende de 26 à 36 millions d’euros pour défaut de transparence. La Commission nationale de l’informatique et des libertés (CNIL) et d’autres régulateurs en Europe avaient exprimé leur désaccord avec ce projet de sanction.
Meta va faire appel
Ils avaient demandé au CEPD de juger le différend ; ce dernier leur a donné raison sur la question de la base juridique. L’association Noyb s’est félicitée, mercredi, d’une décision qui forcera Meta à mettre en place « une option de consentement oui/non » pour l’utilisation des données personnelles de ses utilisateurs, faute de quoi l’entreprise « ne peut pas utiliser leurs données pour une publicité personnalisée ».
L’entreprise dispose de trois mois pour « mettre ses opérations de traitement de données en conformité », a précisé la DPC dans son communiqué. Meta s’est dit « déçu » des décisions et a l’intention de faire appel, « à la fois du fond et des amendes ». « Le débat autour des bases juridiques » pour le traitement des données personnelles « dure depuis un certain temps et les entreprises sont confrontées à un manque de certitudes réglementaires sur la question », estime l’entreprise.
« Ces décisions n’empêchent pas la publicité ciblée ou personnalisée » et « les annonceurs peuvent continuer à utiliser nos plates-formes pour atteindre des clients potentiels, développer leur activité et créer de nouveaux marchés », ajoute Meta. L’entreprise estime en outre que la DPC ne lui impose pas de mettre en place une option de consentement et dit évaluer une variété de solutions pour changer la base légale du traitement des données. Une source proche de Meta a précisé que la base légale de « l’intérêt légitime », prévue par le RGPD, était examinée par l’entreprise.
L’autorité irlandaise, pour le compte de l’UE, a déjà condamné Meta en septembre à une amende de 405 millions d’euros pour des manquements dans le traitement des données de mineurs et en novembre à une amende de 265 millions d’euros pour ne pas avoir protégé suffisamment les données de ses utilisateurs.
Apple condamné par la CNIL en France
Par ailleurs, en France, la CNIL a infligé une amende de 8 millions d’euros à Apple pour avoir imposé des traceurs publicitaires à ses utilisateurs, sans consentement explicite de ceux-ci, a-t-elle fait savoir mercredi. L’enquête avait été lancée après une plainte de l’association France digitale, qui fédère les start-up françaises et notamment des développeurs de logiciels distribués par le magasin d’applications du groupe américain.
Le caractère relativement limité de l’amende s’explique par le fait qu’Apple s’est mis en conformité rapidement durant l’enquête de la CNIL, qui a eu lieu à la mi-2021. De plus, ces identifiants publicitaires ne permettaient à Apple de cibler les internautes que lorsqu’ils naviguaient sur le magasin d’applications mobiles (App Store). Enfin, l’autorité n’a pu sanctionner que les manquements en France.
Dans les faits, la version 14.6 du système d’exploitation d’Apple déposait « par défaut » des identifiants sur les appareils mobiles de la marque (iPhone, iPad…) qui permettaient à Apple de personnaliser les annonces publicitaires diffusées sur son magasin d’applications. Si l’utilisateur ne voulait pas de ce traçage publicitaire, il lui fallait décocher une case dans les réglages de l’appareil.
A l’époque de la plainte, le directeur général de France digitale, Nicolas Brien, avait fustigé le « deux poids, deux mesures » d’Apple. La marque à la pomme s’autorisait en effet une case précochée pour ses traceurs, alors qu’elle imposait depuis peu aux applications tierces de demander un consentement explicite à l’internaute pour leurs propres mouchards. La sanction ne concerne que la France, car elle relève de la directive européenne e-Privacy, qui ne permet que des sanctions nationales. Le RGPD, qui prévoit des sanctions à l’échelle européenne, ne s’applique pas dans ce cas précis.
Contribuer
Réutiliser ce contenu
