Le Comité européen pour la protection des données (CEPD) et l’autorité irlandaise de protection des données (DPC) émettent une amende record de 405 millions d’euros à l’encontre d’Instagram.

Le CEPD confirme les manquements au RGPD

Cette décision finale fait suite à des manquements avérés au règlement général sur la protection des données (RGPD) de la part du groupe de Mark Zuckerberg. L’application Instagram est accusée d’avoir volontairement divulgué les adresses électroniques et/ou les numéros de téléphone des enfants qui utilisaient la plateforme. Une pratique constatée au moment de l’ouverture de l’enquête par l’autorité irlandaise de protection des données en 2020. Depuis, Meta y a mis fin.

C’est justement sur ce point que la pilule a du mal à passer du côté d’Instagram. Un porte-parole de Meta explique que « cette enquête s’est concentrée sur d’anciens paramètres que nous avons mis à jour il y a plus d’un an, et nous avons depuis publié de nouvelles fonctionnalités pour aider à protéger la vie privée des mineurs et garder leurs données en sécurité ». Instagram assure que les enfants présents sur la plateforme bénéficient aujourd’hui de mesures de sécurité renforcées et que leur compte est automatiquement en privé.

Première décision européenne sur les droits des enfants en matière de protection des données

Selon Andrea Jelinek, présidente du Comité européen pour la protection des données, « il s’agit d’une décision historique. Non seulement en raison de la hauteur de l’amende – il s’agit de la deuxième amende la plus élevée depuis l’entrée en application du RGPD – mais aussi parce qu’il s’agit de la première décision à l’échelle de l’Union européenne sur les droits des enfants en matière de protection des données ». Le CEPD veut marquer le coup et fait passer un message très clair aux géants de la tech présents en Europe : le sujet des données personnelles des enfants ne doit pas être prise à la légère.

L’amende a été délivrée en vertu de l’article 6 du RGPD, qui traite de la licéité du traitement des données. Ce passage impose aux entreprises présentes au sein de l’Union européenne de traiter les informations personnelles de manière licite, en respectant plusieurs critères. Dans le cas précis, le CEPD a conclu que Meta traitait les données à caractère personnel des enfants de manière illégale et sans base juridique. Le Comité européen pour la protection des données a donc demandé à l’autorité irlandaise de modifier sa décision afin d’établir la violation de l’article 6 DU RGPD.