Amende de 390000000€ pour Meta Platforms Ireland Limited

Amende de € pour Meta Platforms Ireland Limited

Autorité irlandaise de protection des données

Meta Platforms Ireland Limited

Date de l'amende:

4/1/2023

Structure ou entité mise en cause :

Meta Platforms Ireland Limited

Quelle est la base légale ?

Non-respect des principes généraux de traitement des données

Détail des faits

L'autorité irlandaise de protection des données (DPC) a infligé une amende de 390 millions d'euros à Meta Platforms Ireland Limited. La DPA a infligé une amende de 210 millions d'euros pour des violations liées à la fourniture de son service Facebook et de 180 millions d'euros pour des violations liées à la fourniture de son service Instagram. L'organisation autrichienne « None of Your Business » (NOYB) avait déposé une plainte auprès de la DPA au nom de deux personnes. Meta avait mis à jour ses conditions d'utilisation peu de temps avant l'entrée en vigueur du RGPD. Dans ses nouvelles conditions d'utilisation, Meta informait ses utilisateurs de cliquer sur « Accepter et continuer » pour indiquer leur accord avec les nouvelles conditions d'utilisation. Cela était nécessaire pour accéder ultérieurement aux services. Meta a supposé que l'acceptation des conditions d'utilisation mises à jour constituait un contrat entre Meta et l'utilisateur, car le traitement des données serait nécessaire à la fourniture ainsi qu'à l'amélioration des services. Selon Meta, le traitement des données était donc légal au sens de l'art. 6 (1) b) RGPD. Cependant, le plaignant a fait valoir que Meta essayait en fait de s'appuyer sur le consentement comme base juridique pour le traitement des données des utilisateurs. En conditionnant l'accès à ses services au consentement des utilisateurs aux conditions de service mises à jour, Meta forçait en réalité les utilisateurs à consentir au traitement de leurs données personnelles. À la suite de l'enquête, la DPC a soumis un projet de décision en vertu de l'article 60 du RGPD aux autres autorités de contrôle européennes concernées. La DPC a estimé que Meta ne s'appuyait pas sur le consentement de l'utilisateur comme base juridique et n'a pas envisagé le « consentement forcé » dans ce cas. Elle n'a pas non plus exclu la possibilité que Meta s'appuie sur une base juridique contractuelle. En réponse, la DPC a reçu des objections de différentes autorités de contrôle. Cependant, la DPC a estimé que Meta avait violé ses obligations de transparence en vertu du RGPD, en n'expliquant pas clairement aux utilisateurs à quelle fin et sur quelle base juridique leurs données personnelles seraient traitées. Aucun accord n'ayant pu être trouvé sur les points litigieux, la DPC a engagé une procédure de règlement des litiges en vertu de l'article 65 du RGPD. Dans sa décision, le CEPD a confirmé la violation des obligations de transparence par Meta. Le CEPD a toutefois adopté une position différente de celle de la DPC sur la question de la base juridique et a estimé que Meta n'était pas en droit de se fonder sur une base juridique contractuelle. Le CEPD a donc estimé que Meta avait violé l'art. 6 (1) du RGPD. Le CPD a accepté sa décision finale et a imposé l'amende et a également exigé que Meta mette en conformité son traitement de données dans un délai de trois mois.

Articles du RGPD concernés :

Télécharger le document officiel de la décision
👈 Revenir aux sanctions RGPD

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?