La maison-mère de Facebook a fait l’objet le 19 janvier dernier, d’une nouvelle amende dans le cadre du traitement des données personnelles, utilisées pour améliorer selon ses propres termes, ses services comme sa sécurité mais en s’exonérant du consentement de ses usagers.
Cette sanction est la deuxième infligée à Meta depuis le début de l’année 2023 ; la première étant de l’ordre de 390 millions d’euros par la commission irlandaise de la protection des données qui intervient au nom et pour le compte de l’Union Européenne elle-même.
La juridiction saisie est irlandaise en raison de la domiciliation de Meta sur le sol irlandais et plus précisément à Dublin, dont la fiscalité est assez avantageuse pour les GAFAM, entre autres.
Il est notamment fait grief à la société mère de Facebook et Instagram, de ne pas avoir respecté ses « obligations en matière de transparence » mais également « son traitement des données personnelles à des fins d’amélioration du service et de sécurité » de la messagerie WhatsApp.
Il lui est par ailleurs imparti un délai de 6 mois pour se mettre en conformité avec la réglementation en vigueur.
L’ardoise commence à être lourde pour Meta, qui fait l’objet depuis 2021, de plusieurs épinglages en règle, avec à la clé, des sommes conséquentes :
- 225 millions d’euros en septembre 2021 pour avoir transféré des données d’utilisateurs vers Facebook sans leur consentement ;
- 405 millions d’euros un an après pour défaut de protection des données utilisateur de mineurs;
- 265 millions d’euros en novembre 2022 pour des manquements à la sécurité des données de ses utilisateurs piratés sur Facebook en 2019.
Cette nouvelle sanction risque une fois de plus de fortement déplaire à la société américaine, qui considère que l’usager de ses réseaux sociaux passe lors de son inscription, un contrat moral selon lequel il concède de facto son consentement au traitement qui est fait de ses données personnelles, ce qui est l’une des bases légales du RGPD.
La mise en place de ce contrat permettrait donc à Meta de recueillir et gérer les données des utilisateurs, comme bon lui semble, en se dispensant de toute information supplémentaire, y compris lorsque les données étaient utilisées à un usage publicitaire ou de suivi des activités.
Si la Commission irlandaise considérait il y a un temps, que la société pouvait avoir raison sur ce point, force est de constater que cela n’est plus vraiment le cas depuis le mois de décembre 2021, date à laquelle elle avait proposé un projet de résolution posant les bases juridiques du recueil des données par les géants de la Tech avec à la clé, des pénalités assez basses, du moins ne dépassant pas les 50 millions d’euros ; projet qui n’a pas reçu l’aval du Comité Européen de la Protection des Données.