Le groupe Meta, la maison-mère de Facebook, a écopé mercredi de 2 lourdes amendes totalisant 390 millions d’euros pour violation du règlement européen sur les données (RGPD), après 2 autres sanctions salées cet automne. La Commission irlandaise pour la protection des données (DPC), régulateur qui agit pour le compte de l’UE, a précisé dans un communiqué que Meta avait violé «ses obligations en matière de transparence» et se fondait sur une base juridique erronée «pour son traitement des données à caractère personnel à des fins de publicité» ciblée. Cette sanction fait suite à l’adoption début décembre de 3 décisions contraignantes du comité européen de la protection des données (CEPD), le régulateur européen du secteur. Les 2 premières concernaient des infractions liées aux réseaux sociaux Facebook, pour lequel l’amende s’élève à 210 millions d’euros, et Instagram, autre filiale de Meta, et qui est visé par les 180 millions d’euros restants. La 3ème décision de la CEPD, concernant WhatsApp, a été notifiée plus tard au régulateur irlandais et fera l’objet d’une décision séparée la semaine prochaine. L’association de défense de la vie privée Noyb, à l’origine des 3 plaintes contre le groupe, déposées le 25 mai 2018, date d’entrée en vigueur du RGPD, avait accusé Meta de réinterpréter le consentement «comme un simple contrat de droit civil», qui ne permet pas de refuser la pub ciblée. En octobre 2021, l’autorité irlandaise avait proposé à l’origine un projet de décision qui validait la base juridique utilisée par Facebook et suggérait une amende de 26 à 36 millions d’euros pour défaut de transparence. La Cnil française et d’autres régulateurs étaient montés au créneau face à ce montant jugé largement insuffisant. Ils avaient demandé au CEPD de juger le différend, et ce dernier leur a donné raison sur la question de la base juridique. «Au lieu d’avoir une option «oui/non» pour les publicités personnalisées, (Meta) a simplement déplacé la clause de consentement dans les termes et conditions. Ce n’est pas seulement injuste mais clairement illégal», a commenté le juriste autrichien Max Schrems, fondateur de Noyb. «Nous ne connaissons aucune autre entreprise qui a tenté d’ignorer le RGPD d’une manière si arrogante», a-t-il ajouté. La Noyb s’est félicitée mercredi d’une décision qui, estime-t-elle, forcera Meta à mettre en place «une option de consentement» pour l’utilisation des données personnelles de ses utilisateurs, faute de quoi l’entreprise «ne peut pas utiliser leurs données pour une publicité personnalisée». Meta dispose de 3 mois pour «mettre ses opérations de traitement de données en conformité», a précisé la DPC. Meta se dit «déçu» des décisions et a annoncé son intention de faire appel, selon une déclaration. «Le débat autour des bases juridiques» pour le traitement des données personnelles «dure depuis un certain temps et les entreprises sont confrontées à un manque de certitudes réglementaires sur la question», estime l’entreprise. «Ces décisions n’empêchent pas la publicité ciblée ou personnalisée» et «les annonceurs peuvent continuer à utiliser nos plateformes pour atteindre des clients potentiels, développer leur activité et créer de nouveaux marchés», ajoute Meta. L’entreprise estime en outre que la DPC ne lui impose pas de mettre en place une option de consentement et dit évaluer une variété de solutions pour changer la base légale du traitement des données. Une source proche de Meta a précisé que la base légale de «l’intérêt légitime», prévue par le RGPD, était examinée par l’entreprise. Le gendarme irlandais a déjà condamné le géant californien en septembre à une amende de 405 millions d’euros pour des manquements dans le traitement des données de mineurs, et en novembre à hauteur de 265 millions d’euros pour ne pas avoir protégé suffisamment les données de ses utilisateurs.
