17 millions d’€ d’amende pour Meta: le RGPD n’est pas une option

Une sanction attendue

Une enquête de la CNIL irlandaise en 2018 a révélé que Meta avait en 6 mois commis plus de 12 fuites de données personnelles. Ce manque de vigilance ne pouvait être ignoré. De plus, Meta n’a pas su fournir les preuves attestant de la mise en place de mesures de protection. Après avoir reçu plusieurs plaintes de ses homologues, la DPC a décidé de sévir. Le 15 mars dernier, la commission de protection des données condamne Meta pour ses violations de plusieurs dispositions du RGPD à ’une amende à hauteur de 17 millions d’€.

… mais insuffisante?

Surnommée la CNIL irlandaise, la Data Protection Commission est l’autorité irlandaise qui traite des données personnelles. À la différence de ses homologues, la DPC traite des dossiers des GAFA: elle centralise les plaintes reçues de 27 homologues européens et énonce les sanctions à cet égard. Cette autorité, qui constitue le fameux guichet unique souhaité par l’article 56 du RGPD, fut presque naturellement désignée tant les GAFA sont souvent installés en Irlande (pour des avantages fiscaux notamment). 

Cette désignation est cependant quelque peu critiquée. La France, en accord avec certains homologues européens tels que l’Italie, l’Allemagne, le Portugal, les Pays Bas, la Hongrie et la Pologne, regrette une inaction, un favoritisme de la DPC à l’égard de certains géants du web. Si l’on se réfère aux données chiffrées, il apparaît que seulement 0,07% des plaintes adressées à la DPC aboutissent en une sanction. Alors que Didier Reynders, commissaire européen à la justice évoque une certaine prudence, pour beaucoup d’autres, les sanctions sont trop clémentes, inadaptées et partiales. En l’espèce, il a été relevé que les revenus annuels de Meta en 2021 s’élevaient à 117,9 milliards de $. 

Il est donc compliqué d’apprécier cette sanction. 17 millions certes, est une amende conséquente. Mais doit-on apprécier le montant des amendes selon l’impact que celui-ci aura pour la société sanctionné ? Ce débat anime actuellement la scène européenne, et la France semble avoir pris position.

Rien d’inédit ! 

Cette affaire n’est pas un cas isolé: depuis l’introduction du RGPD, les géants américains – et particulièrement Meta – ont beaucoup de mal à se conformer aux obligations liées au traitement des données personnelles. Et pour cause: le RGPD soumet les entreprises à beaucoup d’obligations, notamment liées à la transparence et au recueil du consentement. Toutes notions  que ces grands groupes ont bien du mal à respecter, volontairement ou involontairement. Mais le résultat est là:  seules les sanctions sont vraiment incitatives.  

L’exemple de Whatsapp 

Whatsapp – qui appartient également au groupe Meta –  fut récemment condamné à 225 millions d’€ d’amende. Le 2 septembre dernier, le DPC (Data Protection Commission, toujours la  même) avec le soutien du CEPD (Comité européen de la protection des données) ont relevé que le non-respect de l’obligation de transparence prévue par le RGPD devait être sanctionné. Whatsapp avait été initialement condamnée à 50 000 000€ d’amende, mais plusieurs pays de l’Union Européenne ont notifié au CEPD que cette amende était dérisoire face aux manquements relevés. Ainsi, le DPC a finalement augmenté le montant de  la sanction. 

La condamnation française

Parallèlement, le 31 décembre 2021, la CNIL a sanctionné Facebook pour manquement à l’article 82 de la Loi Informatiques & Libertés de 1978. En effet, après enquête de la CNIL, il apparaissait que les modalités de refus de consentement relatif au cookies n’étaient pas assez claires et explicites, contrairement aux modalités d’acceptation. Ce dispositif porte atteinte à la liberté de consentement. Ainsi, la formation restreinte de la CNIL a condamné Facebook à une amende de 60 000 000€. 

Ce montant, assez conséquent, est justifié par la CNIL qui considère que les revenus générés par ce dispositif étaient importants et  que beaucoup d’utilisateurs avaient été  concernés. Une logique plutôt compréhensible, mais qui fait débat, et que la DPC ne semble pas retenir.