CONTACT

L’autorité irlandaise contrainte à condamner Meta à 390 millions d’euros d’amende

23 janvier 2023 | Derriennic associés|

Suite à un désaccord entre plusieurs autorités de contrôle européenne, le Comité européen à la protection des données (CEPD) a rédigé trois décisions contraignantes, concernant Facebook, Instagram et WhatsApp, que l’autorité de contrôle irlandaise a été amenée à prononcer.

L’autorité de contrôle irlandaise (la Data Protection Commission, ou « DPC ») a reçu, le jour de l’entrée en application du RGPD, des plaintes de citoyens autrichiens et belges concernant Facebook et Instagram.

Ces plaintes faisaient état de la mise en œuvre de publicités ciblées via les services de Facebook et d’Instagram, sans que le consentement des utilisateurs ne soit recueilli.

Ces plaintes ont conduit la DPC à rédiger un projet de décision, prévoyant la sanction de Meta au titre du défaut de transparence. En effet, pour la DPC, les utilisateurs n’étaient pas informés de façon suffisamment claire quant aux opérations de traitement qui étaient réalisées sur leurs données personnelles, ni sur les finalités de traitement et les bases légales. En revanche, la DPC a considéré que les traitements liés à la publicité ciblée pouvaient reposer, comme le prévoyait Meta, sur la base légale de l’exécution contractuelles et n’avaient pas à s’appuyer sur le consentement des utilisateurs.

Ce projet de décision a été soumis à l’ensemble des autorités de contrôle européennes, dont certaines, à l’instar de la CNIL, ont considéré :

  • que le montant de la sanction proposée par la DPC était trop bas ;
  • que les traitements liés à la publicité ciblée ne pouvaient pas reposer sur la base légale de l’exécution contractuelle, mais bel et bien sur celle du consentement ;

La DPC ayant maintenu sa position et devant l’impossibilité d’atteindre un consensus, le CEPD est intervenu et, aux termes de plusieurs décisions contraignantes, a considéré que Meta ne pouvait pas s’appuyer sur la base légale de l’exécution contractuelle et que le montant de l’amende devait être revu à la hausse.

Dans ce contexte, la DPC s’est alignée sur les conclusions du CEPD et a augmenté le montant des amendes (210.000.000 € s’agissant de Facebook et 180.000.000 € s’agissant d’Instagram).  

Lien vers le communiqué de la CNIL : ici

Lien vers le communiqué de l’autorité de contrôle irlandaise : ici

Lien vers le communiqué du CEPD : ici

articles similaires

| Derriennic Associés

ACCOR condamnée à 600.000 € d’amende pour plusieurs manquements

Dans une décision du 3 août 2022, la CNIL a condamné la société ACCOR au paiement d’une amende de 600.000 €, notamment pour avoir procédé à des opérations de prospection...

| Derriennic associés

Géolocalisation des véhicules : la CNIL inflige une amende à UBEEQO 

Dans sa délibération du 7 juillet 2022, la CNIL sanctionné UBEEQO pour avoir géolocalisé des véhicules de location en infraction au principe de minimisation et pour n’avoir pas respecté les...

| Derriennic Associés

TotalEnergies condamnée à une amende de 1 million d’euros

Par une délibération SAN-2022-011 du 23 juin 2022, la CNIL a sanctionné la société TotalEnergies pour divers manquements au RGPD et notamment le non-respect : (i) des règles de prospection commerciale, (ii)...

| Derriennic Associés

Traitement de données personnelles de mineurs : une amende historique pour Instagram

Le 15 septembre 2022, l’autorité de contrôle irlandaise (Data Protection Commission) a sanctionné Instagram pour avoir traité les données personnelles de mineurs en contradiction avec le RGPD.

| Derriennic Associés

INFOGREFFE sanctionné pour non-respect d’une « précaution élémentaire de sécurité »

Saisie d’une plainte d’une personne indiquant que l’organisme INFOGREFFE lui avait transmis son mot de passe par téléphone en donnant simplement son nom, la CNIL a sanctionné l’organisme pour non-respect...

| Derriennic Associés

La collecte de données sur la séropositivité d’un patient est illicite si elle a pour but de refuser des soins

L’autorité de contrôle italienne a été saisie d’une plainte d’un patient reprochant à son dentiste de lui avoir fait remplir un questionnaire de santé préalable. Après avoir indiqué sa séropositivité...

| Derriennic Associés

Interdiction d’exiger la fourniture de la date de naissance pour l’achat de billets de spectacle

Dans une décision du 8 mars 2022, l’autorité de contrôle islandaise a considéré qu’un responsable du traitement ne pouvait pas collecter la date de naissance lors de l’achat d’un billet...