Bruxelles, le 15 septembre — À la suite de la décision contraignante en matière de litiges du comité européen de la protection des données (EDPB) du 28 juillet, l’autorité irlandaise chargée de la protection des données (APD) a adopté une décision concernant Instagram [Meta Platforms Ireland Limited (Meta IE)] et a infligé à cette entreprise une amende record de 405 millions d’EUR au titre du RGPD.
La décision finale de l’autorité de contrôle chef de file fait suite à une enquête qu’elle a ouverte de sa propre initiative concernant, d’une part, la divulgation publique, par Instagram, d’adresses de courrier électronique et/ou de numéros de téléphone d’enfants utilisant un compte professionnel Instagram et, d’autre part, un paramétrage public, par défaut, pour les comptes personnels d’enfants sur Instagram, pendant la période couverte par l’enquête. Cette pratique a depuis lors pris fin à la suite de l’enquête de l’autorité de contrôle chef de file. Andrea Jelinek, présidente de l’EDPB, a déclaré à ce sujet: «C’est une décision historique, non seulement en raison du montant de l’amende — il s’agit de la deuxième amende la plus élevée depuis l’entrée en vigueur du RGPD — mais aussi parce que c’est la première décision qui est prise à l’échelle de l’UE sur les droits des enfants en matière de protection des données. En adoptant cette décision contraignante, le comité européen de la protection des données fait clairement savoir aux entreprises ciblant les enfants qu’elles doivent être beaucoup plus prudentes. Les enfants méritent une protection particulière en ce qui concerne leurs données à caractère personnel.»
La décision contraignante de l’EDPB a été adoptée sur la base de l’article 65 du RGPD, après que l’APD irlandaise, en tant qu’autorité de contrôle chef de file, a déclenché la procédure de règlement des litiges concernant les objections formulées par plusieurs autorités de contrôle concernées (ACC). Les ACC ont notamment émis des objections concernant la base juridique du traitement et la fixation du montant de l’amende. La commission irlandaise de la protection des données (CPD) a apporté des modifications à son projet de décision à la suite de la procédure de règlement des litiges.
Il s’agit de la première décision contraignante du comité européen de la protection des données portant sur l’un des piliers fondamentaux du droit de l’Union en matière de protection des données, à savoir la licéité du traitement au sens de l’article 6 du RGPD. L’EDPB a notamment fourni des précisions supplémentaires sur l’applicabilité des bases juridiques ayant trait à l’«exécution du contrat» et à l’«intérêt légitime».
Meta IE s’est fondée sur ces deux bases juridiques alternativement pour la publication des adresses électroniques et/ou des numéros de téléphone des enfants qui utilisaient des comptes professionnels Instagram. L’EDPB a estimé que l’autorité de contrôle chef de file n’avait aucune raison de conclure que le traitement en cause était nécessaire à l’exécution d’un contrat. Par conséquent, Meta IE ne pouvait pas se fonder sur l’article 6, paragraphe 1, point b), du RGPD comme base juridique pour ce traitement.
En ce qui concerne la notion d’intérêt légitime, invoqué comme autre base juridique du traitement des données, le CEPD a estimé que la publication des adresses de courrier électronique et/ou des numéros de téléphone des enfants ne satisfaisait pas aux exigences de l’article 6, paragraphe 1, point f), du RGPD, étant donné que le traitement n’était pas nécessaire ou, s’il était jugé nécessaire, qu’il ne satisfaisait pas au critère de mise en balance requis pour déterminer l’intérêt légitime.
L’EDPB a conclu, par conséquent, que Meta IE avait, en l’absence de base juridique, traité de manière illicite les données à caractère personnel des enfants, et a chargé l’autorité de contrôle chef de file de modifier son projet de décision afin d’établir la violation de l’article 6, paragraphe 1, du RGPD.
Enfin, l’EDPB a chargé l’autorité de contrôle chef de file de réévaluer l’amende administrative prévue, conformément à l’article 83, paragraphes 1 et 2, du RGPD, afin que:
- l’amende administrative infligée pour la violation supplémentaire soit effective, proportionnée et dissuasive, en tenant compte de la nature et de la gravité de la violation, ainsi que du nombre de personnes concernées;
- les montants définitifs des amendes administratives soient efficaces, proportionnés et dissuasifs.
La présente décision est sans préjudice des évaluations que l’EDPB pourrait être appelé à effectuer dans d’autres affaires, y compris celles qui concerneraient les mêmes parties.
La décision finale prise par l’autorité irlandaise de protection des données peut être consultée dans le registre des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.
Pour de plus amples informations sur la procédure prévue à l’article 65 du RGPD, nous vous invitons à consulter la FAQ concernant l’article 65.
EDPB_Communiqué de presse_déclaration_2022_08
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.