Données personnelles : amende record pour Instagram !

Publié le 12/10/2022 Vu 1 246 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Après la saisine du Comité européen pour la protection des données, la CNIL irlandaise a sanctionné Instagram d'une amende record de 405 millions d'euros.

Après la saisine du Comité européen pour la protection des données, la CNIL irlandaise a sanctionné Insta

Données personnelles : amende record pour Instagram !

Courant 2020, l’autorité de contrôle irlandaise s’est penchée sur la conformité du traitement des données personnelles des utilisateurs mineurs de l’application Instagram (META) sur la période du 25 mai 2018 au 21 septembre 2020.

En effet, en 2016, l’application Instagram a offert à ses utilisateurs (majeurs et mineurs) la possibilité de créer des comptes « professionnels » (business account) or, la création de ces comptes nécessitait le partage de données de contact (adresses mails et numéros de téléphone) par défaut avant que cela ne devienne une option en 2019.

Concernant les utilisateurs mineurs, cela pouvait poser problème dans la mesure où ces informations de contacts étaient non seulement visibles par les autres utilisateurs de l’application mais également dans le cadre d’une recherche sur un navigateur via le code source html de la page.

La société META (Instagram) s’est défendue en invoquant notamment que les intérêts poursuivis par la publication de ces données étaient légitimes dans la mesure où il s’agissait d’un moyen raisonnable et légal de promouvoir une entreprise professionnelle ou une initiative publique, même dans le cas d’un utilisateur mineur. 

Au regard de ces motivations, l’autorité de contrôle irlandaise a d’abord considéré dans son projet de décision qu’il n’y avait donc pas de violation du RGPD puisqu’il existait un intérêt légitime à la publication des données de contact des utilisateurs mineurs ayant un compte professionnel.

En désaccord avec cette conclusion, diverses autorités de contrôle européennes ont rédigé des observations relevant qu’il n’existait pas de base juridique au traitement et à la publication de ses données.

Les autorités de contrôles n’ayant pas réussi à trouver un accord concernant la décision de l’autorité de contrôle irlandaise, le Comité européen pour la protection des données a donc été saisi afin de statuer sur ce dossier.  

Au regard des observations de chacune des parties, le Comité européen a considéré que l’application Instagram (META) traitait les données personnelles des enfants de manière illicite, c’est-à-dire sans base juridique, et a chargé l’autorité irlandaise de modifier son projet de décision afin d'établir un manquement à l'article 6-1 du Règlement européen.

En effet, le Comité européen a d’abord retenu que les intérêts légitimes évoqués par la société META (Instagram) pour le traitement des données n’étaient ni clairement expliqués, ni distinctement décrits par celle-ci et, ainsi, le Comité a considéré qu’il ne pouvait donc pas vérifier que les intérêts soulevés étaient licites et conformes au RGPD.

En outre, et au regard de la balance des intérêts en présence et notamment des droits fondamentaux et de la protection des utilisateurs mineurs, le Comité européen a soulevé que la publication de leurs coordonnées ne répondait pas aux exigences de l’article 6 §1 (f) du RPGP :

« Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : (f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »

D’ailleurs la société META était particulièrement consciente du problème puisque les paramétrages ont été modifiés en 2019 afin que rendre les données de utilisateurs mineurs privées par défaut.

En conséquence, le Comité a sollicité de l’autorité irlandaise qu’elle modifie son projet de décision afin d'établir un manquement à l'article 6-1 du RGPD.

Outre l’amende record fixé à 405 millions d’euros, cette affaire permet également de mettre en avant la procédure de règlement des litiges par le Comité européen dès lors que les autorités de contrôles ne s’accordent pas sur une décision.

De son côté, la société META a indiqué qu’elle entendait faire appel, arguant que la condamnation s’appuyait sur d’anciens paramétrages, depuis modifiés, et contestant également le calcul du montant de l’amende, troisième amende qui lui est infligée (la troisième après une première de 225 millions pour l’application WhatsApp et une seconde de 17 millions d'euros pour Facebook).

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.

A propos de l'auteur
Blog de Maître Claire VINH SAN

Avocat au Barreau de Meaux - Prestation de serment le 14/01/2016

J'interviens notamment en propriété intellectuelle, droit des nouvelles technologies ou encore sur les questions relatives à la législation en amtière de protection des données personnelles. 

Je m'occupe également de dossiers en droit de la famille (divroces, mesures relatives aux enfants) ainsi qu'en matière pénale.

Types de publications
Commentaires récents
Retrouvez-nous sur les réseaux sociaux et sur nos applications mobiles