Le Comité européen de la protection des données vient d’adopter trois décisions contraignantes susceptibles de mener à des amendes d’ampleur contre le géant américain pour non-respect du RGPD.
Alors que Noël approche, Meta devrait recevoir un cadeau qui lui coûtera cher. La firme californienne pourrait bientôt être condamnée à de lourdes sanctions pour une affaire remontant à 2018, année où le règlement général sur la protection des données (RGPD) est entré en vigueur en Europe. Ce texte interdit aux entreprises d’obliger les utilisateurs à fournir des informations personnelles pour utiliser leurs services sauf si cela est nécessaire pour exécuter un contrat. Un site marchand a par exemple besoin des données de paiement et de l’adresse de livraison d’un client pour lui livrer ses achats.
Meta s’est appuyé sur cette disposition contractuelle du RGPD, indiquant que le traitement des données personnelles, y compris à des fins publicitaires, est indispensable au bon fonctionnement de ses services. Autrement dit, un internaute ne pourrait pas utiliser Facebook, Instagram et WhatsApp s’il refuse que ses informations soient exploitées par l’entreprise. Max Schrems, activiste et président de l’association de protection de la vie privée Noyb avait alors déposé plainte contre la firme, dénonçant un « consentement forcé ».
De lourdes amendes à venir pour Meta
En 2021, la Commission irlandaise de protection des données (DPC) – autorité chef de file avec le siège européen de Meta installé dans son pays – avait convenu que la société pouvait utiliser cette disposition du RGPD. Suggérant une amende entre 26 et 36 millions d’euros pour défaut de transparence, elle a provoqué la colère de la Cnil et des autres autorités de protection qui jugeaient ce projet de sanction beaucoup trop faible.
Le Comité européen de la protection des données (CEPD) avait alors été appelé à régler le différend entre les autorités européennes. Ce mardi, il a adopté trois décisions contraignantes susceptibles d’aboutir à de lourdes amendes contre Meta. « Dans ses décisions contraignantes, le CEPD répond à la question de la définition de l’exécution du contrat comme base légale appropriée, ou non, pour traiter des données personnelles dans le cadre de la publicité comportementale, dans le cas de Facebook et Instagram, et pour l’amélioration des services, dans le cas de WhatsApp », indique le Comité dans un communiqué.
Les décisions adoptées ne sont pas dévoilées, mais selon le Wall Street Journal, qui cite des sources proches du dossier, le CEPD a décidé que Meta ne devrait pas obliger les utilisateurs à accepter des publicités personnalisées en fonction de leur activité en ligne. Une fois notifiées à la DPC, celle-ci aura un mois pour présenter un nouveau projet de sanctions, soit en janvier. Si les décisions du CEPD sont maintenues, Meta risque d’être obligé d’obtenir le consentement des utilisateurs pour le ciblage publicitaire. Selon Politico, les amendes pourraient atteindre un total de 2 milliards d’euros. Elles s’ajouteront aux autres sanctions financières infligées par la DPC au groupe californien cette année. Elle l’a notamment condamné à une amende de 265 millions d’euros en novembre concernant une fuite de données ayant affecté plus de 500 millions d’utilisateurs Facebook.