Le 15 septembre 2022, l’autorité de contrôle irlandaise (Data Protection Commission) a sanctionné Instagram pour avoir traité les données personnelles de mineurs en contradiction avec le RGPD.
En 2020, l’autorité de contrôle irlandaise a, de sa propre initiative, ouvert une enquête à l’encontre d’Instagram.
Cette enquête a révélé plusieurs carences du réseau social. L’autorité de contrôle irlandaise a reproché à Instagram (i) de paramétrer par défaut les comptes personnels de mineurs comme « public », permettant à n’importe quel utilisateur de la plateforme d’accéder aux informations du profil et aux photos et (ii) de communiquer par défaut les coordonnées (courriel et numéro de téléphone) de mineurs ayant un compte professionnel.
Ces carences constituent, selon l’autorité de contrôle, des manquements au RGPD, et notamment à :
- l’article 12, dès lors que le mineur n’a pas été informé de manière claire et transparente sur la publication de ses coordonnées et le paramétrage par défaut en mode « public » ;
- l’article 35§1, dès lors qu’Instagram n’a pas réalisé d’analyse d’impact pour ces deux traitements ;
- l’article 5§1, dès lors qu’Instagram n’a pas respecté le principe de minimisation du traitement des données ;
- l’article 25§1, dès lors qu’Instagram n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées, (telles que la pseudonymisation), pour protéger les données des mineurs.
Le projet de décision de l’autorité de contrôle irlandaise a fait l’objet d’objections de la part d’autres autorités de contrôle nationales.
A défaut de consensus entre les autorités de contrôle, et conformément au processus de règlement des différends prévus à l’article 65 du RGPD, le Comité européen pour la protection des données (CEPD) a pris, le 28 juillet 2022, une décision contraignante.
Le CEPD a ainsi enjoint à l’autorité irlandaise de :
- modifier son projet de décision pour ajouter une violation de l’article 6 du RGPD. Effectivement, Instagram indiquait comme base légale de ses traitements l’exécution du contrat avec l’utilisateur ou l’intérêt légitime de l’entreprise. Or, le CEPD a jugé que les traitements effectués par Instagram ne reposaient sur aucune base légale dès lors (i) que la publication des coordonnées du mineur n’était pas nécessaire à l’exécution du contrat et, (ii) que l’intérêt légitime d’Instagram ne prévalait pas sur les libertés et droits fondamentaux des mineurs utilisant la plateforme.
- réévaluer l’amende à la hausse, afin que cette dernière soit effective, proportionnée et dissuasive, conformément à l’article 83 du RGPD.
Compte tenu de ce qui précède, l’autorité de contrôle irlandaise a pris en compte ces injonctions et a prononcé une amende de 405 millions d’euros à l’encontre d’Instagram.
Source : ici
