La Commission de protection des données (DPC) Irlandaise, homologue de la CNIL française, a annoncé il y a quelques jours la conclusion d’une enquête sur Meta Platforms Ireland Limited (Instagram) imposant une amende de 405 millions d’euros et une série de mesures correctives.
L’enquête concernait le traitement des données personnelles relatives aux enfants utilisateurs du service de réseau social Instagram. Elle a été initiée par la DPC le 21 septembre 2020 en réponse à des informations fournies par le lanceur d’alerte américain David Stier.
L’enquête a porté, en particulier, sur la divulgation publique des adresses e-mail et/ou des numéros de téléphone des enfants utilisant la fonction de compte professionnel Instagram et sur l’existence d’un paramètre public par défaut pour les comptes Instagram personnels des enfants.
Cette divulgation a été rendue possible lorsqu’en 2016, Instagram a permis que les utilisateurs passent d’un « compte personnel » à un « compte professionnel ». Ces utilisateurs ont vu apparaître des informations supplémentaires sur leur profil et leurs followers. Jusqu’en septembre 2019, les utilisateurs, y compris les enfants, qui passaient à un « compte professionnel » étaient tenus d’afficher des coordonnées supplémentaires accessibles au public sous la forme d’une adresse électronique et/ou d’un numéro de téléphone qui étaient publiées sur le profil de l’utilisateur.
Le 4 septembre 2019, Meta IE a supprimé l’obligation d’afficher publiquement les informations de contact.
Lorsqu’un enfant utilisateur associait une adresse électronique et/ou un numéro de téléphone à un compte professionnel (de façon obligatoire avant septembre 2019, ou à titre facultatif après septembre 2019), ce numéro de téléphone et/ou cette adresse électronique étaient publiés sur la page de profil Instagram de l’utilisateur, sous la forme d’un « bouton de contact ».
En outre, avant mars 2019, les adresses électroniques et/ou les numéros de téléphone associés aux comptes professionnels Instagram étaient visibles (y compris pour les personnes non enregistrées en tant qu’utilisateurs d’Instagram) en tant que texte brut dans le code source HTML de la version du navigateur web des pages de profil Instagram.
Enfin, pendant une période comprise entre août 2020 et novembre 2020, les adresses électroniques associées aux comptes professionnels Instagram étaient visibles (y compris pour les personnes non enregistrées en tant qu’utilisateurs d’Instagram) en tant que texte brut dans le code source HTML de la version pour navigateur web des pages de profil Instagram.
La DPC a soumis un projet de décision à tous les régulateurs homologues de l’UE, dont la CNIL, en vertu de l’article 60 du RGPD en décembre 2021.
La décision a finalement été adoptée le 2 septembre 2022 et constate plusieurs violations du RGPD :
- Article 5-1-a : les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée) ;
- Article 5-1-c : les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;
- Article 6-1 : un traitement n’est licite qu’il est consenti ou nécessaire ;
- Article 12-1 : relatif à la transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée ;
- Article 24 : le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ;
- Article 25 : principe de privacy by design ;
- Article 35-1 : obligation de réaliser une étude d’impact en présence d’un traitement à risque élevé.
Aux termes de l’article 82-1 du RGPD, « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
Il est désormais possible pour les enfants ou leurs parents d’agir devant les juridictions françaises (article 79-2 du RGPD) pour demander réparation du préjudice subi. Ce préjudice s’analyse principalement en un préjudice moral, lié à l’atteinte aux données ainsi divulguées sans le consentement des utilisateurs.
Le cabinet BRUZZO DUBUCQ défend les enfants et leurs parents contre META devant les tribunaux français.