DSA : l'Irlande ouvre une enquête formelle contre Meta sur les fils non profilés — un test pour toute l'UE

13/5/26
👈 les autres actualités

L'autorité irlandaise des services numériques, Coimisiún na Meán (CnaM), a ouvert une enquête formelle contre Meta pour des manquements présumés au Digital Services Act. Au cœur du dossier : des interfaces qui pourraient empêcher les utilisateurs de Facebook et Instagram d'activer un fil non basé sur le profilage. Une décision attendue depuis treize mois — et qui pourrait, cette fois, forcer une mise en conformité à l'échelle de toute l'UE.

Ce qui s'est passé

Dans un communiqué daté du 5 mai 2026, la CnaM a annoncé l'ouverture d'une investigation portant sur de « potentiels dark patterns, ou interfaces manipulatrices et trompeuses, qui pourraient empêcher les personnes d'exercer leur droit à choisir un système de recommandation qui ne soit pas fondé sur le profilage ». La saisine fait suite à une plainte conjointe déposée en avril 2025 par Bits of Freedom, European Digital Rights (EDRi), la Gesellschaft für Freiheitsrechte (GFF) et Convocation Design + Research, au nom d'un utilisateur irlandais de Facebook et Instagram.

L'enjeu de cette plainte est précis : l'article 38 du DSA impose aux très grandes plateformes (VLOP) de proposer aux utilisateurs au moins une option de recommandation qui n'utilise pas le profilage. Les requérants estiment que Meta enterre délibérément cette option derrière des parcours d'interface dissuasifs, alors que l'option par défaut continue de carburer au profilage publicitaire.

L'enquête a été ouverte en parallèle d'une procédure judiciaire menée par Bits of Freedom aux Pays-Bas. En mars 2026, la cour d'appel néerlandaise a confirmé que la « conduite illicite continue » de Meta violait le DSA et a ordonné à Facebook et Instagram de modifier leurs applications. Mais la portée de cette décision est strictement nationale : Meta n'a déployé les correctifs que pour les utilisateurs néerlandais, laissant le reste de l'UE avec des applications dont la conformité reste contestée.

Pourquoi c'est important

L'enquête de la CnaM est précisément l'instrument qui peut transformer une décision locale en une obligation européenne. Sous le DSA, les Coordinateurs nationaux des services numériques — et la Commission européenne pour les VLOP — sont en première ligne pour faire appliquer le texte de manière cohérente sur tout le marché intérieur. Une décision contraignante de la CnaM porterait sur l'ensemble de l'UE, là où une condamnation civile s'arrête aux frontières du tribunal saisi.

Cet épisode rappelle aux DPO et juristes que la frontière entre RGPD et DSA est plus poreuse qu'il n'y paraît. Les fils de recommandation reposent sur un traitement massif de données comportementales, dont la base légale et le caractère « non nécessaire » au service ont déjà été interrogés par plusieurs autorités. L'affaire Meta MCI sur la surveillance des salariés pour entraîner ses IA illustre la même logique : un dispositif déployé d'abord aux États-Unis, puis testé sur la capacité de l'arsenal européen à le contraindre.

Le timing est également significatif. La Commission européenne et plusieurs autorités comme l'EDPB dans son Helsinki Statement insistent désormais sur l'enforcement opérationnel plutôt que sur la production de nouvelles guidelines. Une décision rapide de la CnaM serait perçue comme le test de crédibilité du rulebook numérique européen. À l'inverse, une procédure qui s'étire pendant des années renforcerait la critique récurrente du « guichet unique irlandais » accusé de protéger les Big Tech installés à Dublin.

Ce que ça change pour les organisations

Pour les DPO et responsables de la conformité, plusieurs enseignements pratiques se dégagent dès maintenant, sans attendre la décision finale de la CnaM.

1. Cartographier les interfaces de choix. Tout produit qui propose un consentement, une option de retrait ou un paramétrage doit pouvoir documenter l'absence de dark pattern. La charge probatoire repose sur le responsable de traitement : nombre de clics pour activer l'option non-profilée, hiérarchie visuelle, libellés ambigus, dispersion des réglages — tout cela devient un risque contentieux. Le même raisonnement vaut pour la conformité des bandeaux cookies et CMP, où la CNIL a déjà sanctionné des parcours déséquilibrés.

2. Anticiper la portée extraterritoriale d'une décision DSA. Contrairement à une condamnation nationale, une décision de la CnaM produit ses effets dans toute l'UE. Les éditeurs de plateformes, même non-VLOP, doivent tracer leurs paramètres « par défaut » et leur capacité à les modifier sans rupture de service. Une recommandation européenne unifiée signifie aussi un environnement de conformité plus prévisible — et un risque réduit de patchwork réglementaire entre États membres.

3. Renforcer la chaîne entre conformité et design produit. Le contentieux Meta montre que les questions d'UX ne sont plus seulement esthétiques : elles déterminent la base juridique. Intégrer un juriste ou un DPO dans la revue des parcours utilisateurs devient une mesure de gestion du risque. Un audit RGPD bien mené couvre désormais ces points d'interface, là où il se limitait souvent aux registres et politiques.

4. Suivre les signaux de coopération transfrontalière. La plainte avait été déposée par quatre ONG européennes coordonnées. La société civile devient un acteur structurant de l'enforcement DSA, et certaines saisines coïncident avec des positions de l'EDPB. L'action de noyb contre LinkedIn sur le droit d'accès ou les conclusions préliminaires DMA contre Google dessinent le même schéma : un faisceau de saisines coordonnées qui force la régulation à sortir du débat doctrinal.

Ce que Leto pense de cette décision

L'ouverture de l'enquête est nécessaire, mais elle arrive treize mois après la plainte initiale. Si la CnaM veut rendre le DSA crédible, le temps de la procédure doit être à la mesure du préjudice : les utilisateurs européens utilisent quotidiennement des applications qu'un tribunal hollandais a déjà jugées non conformes. Le test n'est pas seulement juridique, il est aussi politique. Une décision rapide et structurante donnerait au DSA l'effet de seuil que le RGPD a mis cinq ans à acquérir. Une procédure qui s'enlise validerait, à l'inverse, la critique récurrente d'un guichet unique trop lent face aux Big Tech.

Sources : EDRi — Ireland investigates Meta for breaching the DSA

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026