Le comité européen de la protection des données (CEPD), à savoir le régulateur européen des données personnelles, a adopté trois décisions contraignantes qui pourraient mener à des amendes d’ampleur contre Meta, accusé par une association de défense de la vie privée de contourner la règlementation.
Bientôt de grosses amendes contre Meta en Europe ?
Ces décisions, qui « abordent des questions juridiques importantes » selon le CEPD, n’ont pas été dévoilées. Mais elles pourraient remettre en cause la base légale sur laquelle Meta se fonde pour monétiser via la publicité ses plateformes Facebook, Instagram et WhatsApp. Dès lors que les décisions auront été notifiées à l’autorité irlandaise de protection des données (DPC), chargée de contrôler le groupe américain en Europe, celle-ci aura un mois pour amender ses projets de sanctions.
Selon l’association de défense de la vie privée Noyb, à l’origine de trois plaintes contre le groupe, Facebook affirme depuis l’entrée en vigueur en mai 2018 du règlement général sur la protection des données (RGPD) que le traitement des données personnelles de ses utilisateurs, y compris à des fins de publicité, est indispensable au bon fonctionnement de ses services. « Facebook essaie de priver les utilisateurs de nombreux droits du RGPD en réinterprétant le consentement comme un simple contrat de droit civil », qui ne permet pas de refuser la publicité ciblée, avait accusé son fondateur, le juriste autrichien Max Schrems.
En octobre 2021, l’autorité irlandaise avait établi un projet de décision qui validait le choix de Facebook et suggérait une amende de 26 à 36 millions d’euros pour défaut de transparence. La CNIL française et d’autres autorités de protection avaient exprimé leur désaccord avec ce projet de sanction, jugée beaucoup trop faible, et avaient demandé au CEPD de juger le différend.
Déjà des amendes
Selon des documents financiers, Meta a provisionné 3 milliards d’euros pour d’éventuelles sanctions européennes en 2022 et 2023. Le gendarme irlandais l’a déjà condamné en septembre à une amende de 405 millions d’euros pour des manquements dans le traitement des données de mineurs, et en novembre à hauteur de 265 millions d’euros pour ne pas avoir protégé suffisamment les données de ses utilisateurs.
En France, la CNIL, garante de la vie privée sur Internet, l’avait condamné en janvier 2022 à une amende de 60 millions d’euros pour ses pratiques en matière de cookies.
