Le groupe Meta, la maison-mère de Facebook, a écopé mercredi de deux lourdes amendes totalisant 390 millions d’euros pour violation du règlement européen sur les données (RGPD), a annoncé le régulateur irlandais, qui agit au nom de l’Union européenne.
La Commission irlandaise pour la protection des données (DPC) a précisé dans un communiqué que Meta avait violé « ses obligations en matière de transparence » et se fondait sur une base juridique erronée « pour son traitement des données à caractère personnel à des fins de publicité » ciblée.
Cette sanction fait suite à l’adoption début décembre de trois décisions contraignantes du comité européen de la protection des données (CEPD), le régulateur européen du secteur. L’une d’elle, concernant WhatsApp, a été notifiée plus tard à la DPC et fera l’objet d’une décision la semaine prochaine.
L’association de défense de la vie privée Noyb, à l’origine des trois plaintes contre le groupe, avait accusé Meta de réinterpréter le consentement « comme un simple contrat de droit civil », qui ne permet pas de refuser la publicité ciblée. En octobre 2021, l’autorité irlandaise avait proposé à l’origine un projet de décision qui validait la base juridique utilisée par Facebook et suggérait une amende de 26 à 36 millions d’euros pour défaut de transparence.
La Cnil française et d’autres régulateurs avaient exprimé leur désaccord avec ce projet de sanction, jugé beaucoup trop faible. Ils avaient demandé au CEPD de juger le différend, et ce dernier leur a donné raison sur la question de la base juridique.
L’association Noyb s’est félicitée mercredi d’une décision qui, estime-t-elle, forcera Meta à mettre en place « une option de consentement oui/non » pour l’utilisation des données personnelles de ses utilisateurs, faute de quoi l’entreprise « ne peut pas utiliser leurs données pour une publicité personnalisée ».
Meta se dit « déçu » des décisions et a indiqué son intention de faire appel, « à la fois du fond et des amendes », dans une déclaration transmise à l’AFP. « Le débat autour des bases juridiques » pour le traitement des données personnelles « dure depuis un certain temps et les entreprises sont confrontées à un manque de certitudes réglementaires sur la question », estime l’entreprise.
« Ces décisions n’empêchent pas la publicité ciblée ou personnalisée » et « les annonceurs peuvent continuer à utiliser nos plateformes pour atteindre des clients potentiels, développer leur activité et créer de nouveaux marchés », ajoute Meta.
Le gendarme irlandais a déjà condamné le géant californien en septembre à une amende de 405 millions d’euros pour des manquements dans le traitement des données de mineurs, et en novembre à hauteur de 265 millions d’euros pour ne pas avoir protégé suffisamment les données de ses utilisateurs.