Un conflit qui durait depuis des années entre Meta, des défenseurs de la vie privée, les autorités irlandaises et d’autres autorités chargées de la protection des données a pris fin : il a été constaté que Meta avait traité illégalement les données personnelles des utilisateurs. Le groupe doit payer une amende de 390 millions d’euros.
Des années de conflit entre l’entreprise et les autorités
L’affaire a fait beaucoup de bruit dans le passé, l’autorité irlandaise de protection des données se rangeant du côté de Meta et tolérant la pratique de l’entreprise. Des initiatives de la société civile l’ont combattu, tout comme les autorités chargées de la protection des données dans d’autres pays de l’UE. En conséquence, le comité européen de la protection des données a dû être appelé à prendre une décision contraignante. L’objet du litige était le traitement des données personnelles par Meta. L’entreprise collecte de nombreuses données personnelles via Facebook et Instagram afin de pouvoir proposer des publicités personnalisées. Meta n’obtient pas de consentement séparé à cet effet, mais fait référence à cette pratique dans ses conditions générales. L’autorité irlandaise de protection des données n’y voit aucun problème, même si le règlement général sur la protection des données (RGPD) de l’UE exige un consentement explicite.
Le militant pour la protection des données Max Schrems a poursuivi Meta peu après l’entrée en vigueur du RGPD, ce qui a donné lieu à un litige de quatre ans au cours duquel les autorités de protection des données d’autres pays de l’UE ont également fait pression pour mettre fin aux pratiques de Meta. L’autorité irlandaise chargée de la protection des données, compétente car le siège social de Meta se trouve en Irlande, s’y est toutefois opposée. Finalement, le Comité européen de la protection des données a jugé que cette pratique était illégale – et les autorités irlandaises ont dû infliger une amende en conséquence. Elle s’est désormais conformée à cette décision. La dernière amende d’un million de dollars contre Meta a été imposée en novembre dernier.
Les conséquences pour Facebook et Instagram ne sont pas claires
En outre, cette décision signifie que Facebook et Instagram devront à l’avenir obtenir un consentement séparé pour le traitement des données personnelles. Une période transitoire de trois mois est accordée à cet effet. Ce que cela signifie pour les services n’est cependant pas clair. Le modèle commercial de Meta repose essentiellement sur l’offre de publicités personnalisées. Si les utilisateurs rejettent désormais massivement le traitement de leurs données personnelles, une activité rentable dans l’UE ne sera plus possible. Cependant, Schrems, qui a intenté une action en justice contre Meta, estime que restreindre les services à tous ceux qui refusent le traitement de leurs données n’est pas légalement autorisé. Meta avait déjà fait allusion à un retrait de l’UE au début de l’année dernière, mais avait ensuite renoncé à cette idée. Reste à savoir si ces considérations redeviendront d’actualité.
Un nouveau conflit éclate
Entre-temps, un nouveau différend a déjà éclaté entre les Irlandais et les autres autorités de protection des données de l’UE. Par exemple, l’autorité irlandaise a annoncé qu’elle ne se conformerait pas à la demande du Comité européen de la protection des données d’enquêter sur la conformité de Meta aux réglementations pertinentes dans d’autres domaines également. L’Irlande remet en question la force contraignante de cette demande et a fait appel à la Cour de justice européenne à cet égard.
