CONTACT

Traitement de données personnelles de mineurs : une amende historique pour Instagram

08 novembre 2022 | Derriennic Associés|

Le 15 septembre 2022, l’autorité de contrôle irlandaise (Data Protection Commission) a sanctionné Instagram pour avoir traité les données personnelles de mineurs en contradiction avec le RGPD.

En 2020, l’autorité de contrôle irlandaise a, de sa propre initiative, ouvert une enquête à l’encontre d’Instagram.

Cette enquête a révélé plusieurs carences du réseau social. L’autorité de contrôle irlandaise a reproché à Instagram (i) de paramétrer par défaut les comptes personnels de mineurs comme « public », permettant à n’importe quel utilisateur de la plateforme d’accéder aux informations du profil et aux photos et (ii) de communiquer par défaut les coordonnées (courriel et numéro de téléphone) de mineurs ayant un compte professionnel.  

Ces carences constituent, selon l’autorité de contrôle, des manquements au RGPD, et notamment à :

  • l’article 12, dès lors que le mineur n’a pas été informé de manière claire et transparente sur la publication de ses coordonnées et le paramétrage par défaut en mode « public » ;
  • l’article 35§1, dès lors qu’Instagram n’a pas réalisé d’analyse d’impact pour ces deux traitements ;
  • l’article 5§1, dès lors qu’Instagram n’a pas respecté le principe de minimisation du traitement des données ;
  • l’article 25§1, dès lors qu’Instagram n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées, (telles que la pseudonymisation), pour protéger les données des mineurs.

Le projet de décision de l’autorité de contrôle irlandaise a fait l’objet d’objections de la part d’autres autorités de contrôle nationales.

A défaut de consensus entre les autorités de contrôle, et conformément au processus de règlement des différends prévus à l’article 65 du RGPD, le Comité européen pour la protection des données (CEPD) a pris, le 28 juillet 2022, une décision contraignante.

Le CEPD a ainsi enjoint à l’autorité irlandaise de :

  • modifier son projet de décision pour ajouter une violation de l’article 6 du RGPD. Effectivement, Instagram indiquait comme base légale de ses traitements l’exécution du contrat avec l’utilisateur ou l’intérêt légitime de l’entreprise. Or, le CEPD a jugé que les traitements effectués par Instagram ne reposaient sur aucune base légale dès lors (i) que la publication des coordonnées du mineur n’était pas nécessaire à l’exécution du contrat et, (ii) que l’intérêt légitime d’Instagram ne prévalait pas sur les libertés et droits fondamentaux des mineurs utilisant la plateforme.
  • réévaluer l’amende à la hausse, afin que cette dernière soit effective, proportionnée et dissuasive, conformément à l’article 83 du RGPD.

Compte tenu de ce qui précède, l’autorité de contrôle irlandaise a pris en compte ces injonctions et a prononcé une amende de 405 millions d’euros à l’encontre d’Instagram.

Source : ici

articles similaires

| Derriennic Associés

La collecte de données sur la séropositivité d’un patient est illicite si elle a pour but de refuser des soins

L’autorité de contrôle italienne a été saisie d’une plainte d’un patient reprochant à son dentiste de lui avoir fait remplir un questionnaire de santé préalable. Après avoir indiqué sa séropositivité dans ledit questionnaire, le patient s’est vu refuser les soins.

| Derriennic Associés

Les dossiers médicaux des patients ne doivent pas être accessibles à tous les professionnels de santé

L’autorité de contrôle italienne a sanctionné un établissement de santé pour avoir permis aux professionnels de santé non impliqués dans le processus de traitement d’accéder aux dossiers médicaux des patients.

| Derriennic Associés

ACCOR condamnée à 600.000 € d’amende pour plusieurs manquements

Dans une décision du 3 août 2022, la CNIL a condamné la société ACCOR au paiement d’une amende de 600.000 €, notamment pour avoir procédé à des opérations de prospection commerciale sans recueillir le consentement des personnes concernées et avoir méconnu les droits conférés auxdites personnes par le RGPD.

| Derriennic Associés

Autorité de la concurrence : un nouveau gendarme du RGPD ?

Le 20 septembre dernier, l’avocat général près la CJUE a conclu qu’une autorité de la concurrence peut, dans certaines conditions, examiner la conformité de pratiques commerciales avec le RGPD.

| Derriennic Associés

Collectivités territoriales : la CNIL a mis demeure 22 communes de désigner un DPO

Le 31 mai dernier, ce ne sont pas moins de 22 mises en demeure de la CNIL qui ont été publiées, enjoignant autant de communes à désigner un DPO dans le délai de 4 mois.

| Derriennic Associés

Conflit d’intérêts : le directeur d’une société ne peut pas être DPO

L’autorité berlinoise de protection des données a annoncé avoir sanctionné une clinique pour avoir nommé son directeur comme DPO.