Meta (Instagram) lourdement sanctionnée pour violation du RGPD

La société Meta, éditrice de l'application Instagram, a été sanctionnée par l'autorité irlandaise de protection des données en raison de manquements au RGPD, en particulier en ce qui concerne les enfants.

Il a été constaté que des enfants disposant d'un compte Instagram professionnel avaient vu leurs coordonnées téléphoniques et adresses e-mail diffusées publiquement. Dans sa charte de confidentialité, Meta fondait ce traitement sur deux bases légales, l'exécution du contrat et l'intérêt légitime, deux notions potentiellement difficiles à appréhender.

En l'espèce, l'autorité irlandaise a considéré que la publication des coordonnées des enfants n'était pas nécessaire à l'exécution du contrat. De même, l'intérêt légitime de Meta ne pouvait pas être utilement invoqué à l'appui de ce traitement, en l'absence de nécessité et d'équilibre.

Ainsi, ce traitement était opéré sans fondement juridique valable, à rebours des exigences du RGPD et, plus particulièrement, de son article 6.

L'amende fixée par l'autorité est particulièrement lourde : 405 millions d'euros. Il s'agit presque d'un record, dont le caractère dissuasif était recherché en raison, selon la décision, de la nature et la gravité de l'infraction, ainsi que le nombre de personnes concernées. La sanction prononcée à l'encontre d'Amazon en 2021, près de 750 millions d'euros, reste toutefois l'amende pour violation du RGPD la plus élevée à ce jour.

Meta a indiqué avoir corrigé les problèmes signalés, il y a plusieurs mois. Ainsi, désormais, toute personne mineure créant un compte sur Instagram voit son compte privé par défaut.

En février dernier, Meta avait menacé de fermer Facebook et Instagram en Europe si elle se voyait toujours privée de la possibilité de transférer les données personnelles vers les Etats-Unis. Une telle sanction pourrait-elle la pousser encore davantage à se retirer du marché européen ?