Les ennuis réglementaires s’accumulent pour Meta

Le groupe devrait écoper d’une amende de près de 2 milliards d’euros pour non-respect du RGPD

régulation Les autorités européennes de protection des données personnelles préparent un cadeau de Noël piquant pour Meta. Ce lundi, elles se sont réunies pour proposer une sanction à l’encontre du groupe californien et de l’ensemble de ses services – Facebook, Instagram, WhatsApp – pour non-respect de la législation européenne. Selon les informations de Politico, l’amende pourrait atteindre 2 milliards d’euros. Le dernier mot reviendra à la Cnil irlandaise, autorité de contrôle de Meta en Europe sur les questions liées aux données personnelles. Cette dernière rendra sa décision d’ici à début janvier.

Le groupe de Mark Zuckerberg est poursuivi pour un dossier technique dont les origines remontent à l’entrée en vigueur en 2018 du règlement général de protection des données (RGPD). D’après ce texte, les sites et applications doivent recueillir auprès des internautes européens leur consentement « libre et éclairé» à ce que leurs données soient captées, analysées et éventuellement revendues.

Mais, pour Meta, il s’agit d’un contrat d’utilisation : l’accès à ses services ne peut se faire qu’en échange de l’exploitation des données à des fins publicitaires. Si l’internaute refuse cette captation, alors il ne peut plus accéder à Facebook, Instagram et WhatsApp. L’activiste autrichien Max Schrems avait immédiatement dénoncé un « consentement forcé » et déposé plainte en 2018 contre le groupe californien. L’affaire est toujours en cours auprès de la Cour de justice européenne.

Si les Cnil européennes s’opposent à cette lecture du RGPD, l’autorité irlandaise l’a toujours approuvée. L’an passé, elle n’avait proposé qu’une amende d’une vingtaine de millions d’euros contre Meta car ce dernier n’expliquait pas clairement l’usage des données collectées. Cela avait provoqué la colère des autres Cnil, et alimenté la théorie selon laquelle l’autorité irlandaise était trop tendre avec les géants de la tech à cause de leur poids dans l’économie de l’île.

670 millions d’euros d’amendes en deux mois

Mais la Data Protection Commission (DPC) a depuis lourdement sévi contre Meta. Entre septembre et fin novembre, elle a infligé au groupe de Mark Zuckerberg un total de 670 millions d’euros d’amendes pour d’autres manquements au RGPD. La première affaire (405 millions d’euros) concerne Instagram et une insuffisante protection des informations personnelles des utilisateurs mineurs. La DPC reprochait notamment que les comptes des utilisateurs de moins de 18 ans soient publics par défaut – ce qui a été corrigé l’an passé par Meta, qui a fait appel de la décision.

La seconde concerne Facebook : une base de données de noms, numéros de téléphone et e-mails de près de 500 millions d’utilisateurs de Facebook, dont 86 millions d’Européens, a été publiée l’an passé sur un forum. La DPC a infligé une amende de 265 millions d’euros à Meta, qui a failli à son obligation de protection «par défaut et dès la conception » des données de ses utilisateurs.

Aux amendes européennes s’ajoutent celles à l’échelon national. En France, la Cnil a sanctionné Meta (60 millions d’euros) en janvier car le groupe ne permettait pas de refuser facilement le dépôt de cookies sur l’appareil de l’internaute. L’Autorité de la concurrence n’a, elle, pas infligé de sanctions financières à Meta. Mais elle l’a contraint en juin à accepter plusieurs engagements concernant ses activités publicitaires, qui auraient pu être qualifiées d’abus de position dominante.