Meta Platforms Ireland Limited
Date de l'amende:
4/1/2023
Structure ou entité mise en cause :
Meta Platforms Ireland Limited
Quelle est la base légale ?
Non-respect des principes généraux de traitement des données
Détail des faits
L'autorité irlandaise de protection des données (DPC) a infligé une amende de 390 millions d'euros à Meta Platforms Ireland Limited. La DPA a infligé une amende de 210 millions d'euros pour des violations liées à la fourniture de son service Facebook et de 180 millions d'euros pour des violations liées à la fourniture de son service Instagram. L'organisation autrichienne « None of Your Business » (NOYB) avait déposé une plainte auprès de la DPA au nom de deux personnes. Meta avait mis à jour ses conditions d'utilisation peu de temps avant l'entrée en vigueur du RGPD. Dans ses nouvelles conditions d'utilisation, Meta informait ses utilisateurs de cliquer sur « Accepter et continuer » pour indiquer leur accord avec les nouvelles conditions d'utilisation. Cela était nécessaire pour accéder ultérieurement aux services. Meta a supposé que l'acceptation des conditions d'utilisation mises à jour constituait un contrat entre Meta et l'utilisateur, car le traitement des données serait nécessaire à la fourniture ainsi qu'à l'amélioration des services. Selon Meta, le traitement des données était donc légal au sens de l'art. 6 (1) b) RGPD. Cependant, le plaignant a fait valoir que Meta essayait en fait de s'appuyer sur le consentement comme base juridique pour le traitement des données des utilisateurs. En conditionnant l'accès à ses services au consentement des utilisateurs aux conditions de service mises à jour, Meta forçait en réalité les utilisateurs à consentir au traitement de leurs données personnelles. À la suite de l'enquête, la DPC a soumis un projet de décision en vertu de l'article 60 du RGPD aux autres autorités de contrôle européennes concernées. La DPC a estimé que Meta ne s'appuyait pas sur le consentement de l'utilisateur comme base juridique et n'a pas envisagé le « consentement forcé » dans ce cas. Elle n'a pas non plus exclu la possibilité que Meta s'appuie sur une base juridique contractuelle. En réponse, la DPC a reçu des objections de différentes autorités de contrôle. Cependant, la DPC a estimé que Meta avait violé ses obligations de transparence en vertu du RGPD, en n'expliquant pas clairement aux utilisateurs à quelle fin et sur quelle base juridique leurs données personnelles seraient traitées. Aucun accord n'ayant pu être trouvé sur les points litigieux, la DPC a engagé une procédure de règlement des litiges en vertu de l'article 65 du RGPD. Dans sa décision, le CEPD a confirmé la violation des obligations de transparence par Meta. Le CEPD a toutefois adopté une position différente de celle de la DPC sur la question de la base juridique et a estimé que Meta n'était pas en droit de se fonder sur une base juridique contractuelle. Le CEPD a donc estimé que Meta avait violé l'art. 6 (1) du RGPD. Le CPD a accepté sa décision finale et a imposé l'amende et a également exigé que Meta mette en conformité son traitement de données dans un délai de trois mois.
Télécharger le document officiel de la décision