Suite à un désaccord entre plusieurs autorités de contrôle européenne, le Comité européen à la protection des données (CEPD) a rédigé trois décisions contraignantes, concernant Facebook, Instagram et WhatsApp, que l’autorité de contrôle irlandaise a été amenée à prononcer.
L’autorité de contrôle irlandaise (la Data Protection Commission, ou « DPC ») a reçu, le jour de l’entrée en application du RGPD, des plaintes de citoyens autrichiens et belges concernant Facebook et Instagram.
Ces plaintes faisaient état de la mise en œuvre de publicités ciblées via les services de Facebook et d’Instagram, sans que le consentement des utilisateurs ne soit recueilli.
Ces plaintes ont conduit la DPC à rédiger un projet de décision, prévoyant la sanction de Meta au titre du défaut de transparence. En effet, pour la DPC, les utilisateurs n’étaient pas informés de façon suffisamment claire quant aux opérations de traitement qui étaient réalisées sur leurs données personnelles, ni sur les finalités de traitement et les bases légales. En revanche, la DPC a considéré que les traitements liés à la publicité ciblée pouvaient reposer, comme le prévoyait Meta, sur la base légale de l’exécution contractuelles et n’avaient pas à s’appuyer sur le consentement des utilisateurs.
Ce projet de décision a été soumis à l’ensemble des autorités de contrôle européennes, dont certaines, à l’instar de la CNIL, ont considéré :
- que le montant de la sanction proposée par la DPC était trop bas ;
- que les traitements liés à la publicité ciblée ne pouvaient pas reposer sur la base légale de l’exécution contractuelle, mais bel et bien sur celle du consentement ;
La DPC ayant maintenu sa position et devant l’impossibilité d’atteindre un consensus, le CEPD est intervenu et, aux termes de plusieurs décisions contraignantes, a considéré que Meta ne pouvait pas s’appuyer sur la base légale de l’exécution contractuelle et que le montant de l’amende devait être revu à la hausse.
Dans ce contexte, la DPC s’est alignée sur les conclusions du CEPD et a augmenté le montant des amendes (210.000.000 € s’agissant de Facebook et 180.000.000 € s’agissant d’Instagram).
Lien vers le communiqué de la CNIL : ici
Lien vers le communiqué de l’autorité de contrôle irlandaise : ici
Lien vers le communiqué du CEPD : ici