HomeIco

Home

 InternIco

Intern

 GlobalIco

Global

 ContactIco

Contact
de|fr

Nous utilisons nos propres cookies et ceux de tiers à des fins statistiques et d'amélioration du site web. Veuillez sélectionner ci-dessous les cookies que vous souhaitez accepter ou refuser. Si vous poursuivez votre navigation sans sélectionner de cookies, cela équivaut à refuser les cookies. Pour plus d'informations, veuillez consulter notre politique de confidentialité.
Actualités Plateformes, protégez les mineurs !

Plateformes, protégez les mineurs !

PrintMailRate-it

Une décision majeure de l'autorité irlandaise de protection des données personnelles condamne Instagram à une amende d'une ampleur inédite.

Le 28 juillet, META (anciennement Facebook), maison mère d'Instagram, a été condamnée à 405 millions d'euros par l'autorité irlandaise de protection des données personnelles (la « DPC »).[1]

 

La raison en est plusieurs manquements à deux principes fondamentaux du RGPD, à savoir le fait qu'un traitement doit notamment reposer (i) sur une finalité licite et (ii) sur une base légale légitime (consentement, contrat, loi, intérêt légitime, etc.).

 

Cette décision irlandaise est d'autant plus fondamental qu'elle a vu intervenir le CEPD, l'autorité européenne de supervision, qui, en arbitre, a obligé l'autorité locale à modifier largement un premier avis trop favorable à Meta.

 

Cette décision est une première à plusieurs égards :

  • L'affaire concerne l'un des plus célèbres réseaux sociaux, Instagram, filiale de Meta et sœur de Facebook ;
  • Elle concerne plus spécifiquement les données personnelles contenues dans les comptes Instagram d'utilisateurs mineurs. On rappellera que la minorité, en matière de traitement de données personnelles, est de 16 ans aux termes du RGPD (variantes possibles selon les pays).
  • C'est la deuxième amende la plus élevée prononcée au titre du RGPD en Europe;
  • C'est la première décision basée sur un des principes fondamentaux du RGPD, le choix de la base légale applicable (art. 6 RGPD);

Cette décision s'inscrit donc ainsi dans le débat européen plus général sur le problème de l'accès incontrôlé des mineurs à Internet, voire de leur ciblage, faute de capacité réelle à les identifier avec certitude ou faute, pour certaines plateformes, de faire preuve de la rigueur juridique nécessaire.

 

Sur le plan procédural, l'affaire a commencé par un contrôle opéré chez Instagram par l'autorité irlandaise, la 'Data Protection Commission' (« DPC »).

 

Précisons que, sur Instagram, il existe deux types de comptes :

  • Des comptes individuels, paramétrés comme publics par défaut (visibles des utilisateurs d'Instagram), mais paramétrables comme privés sur option du titulaire ;
  • Des comptes professionnels, paramétrés comme publics par Instagram, et également accessibles aux mineurs indiquant avoir une activité professionnelle.

Les investigations portaient précisément sur la légitimé de ce caractère public, par défaut ou obligatoire, sur Instagram, des comptes et de certaines données personnelles d'utilisateurs mineurs. De nombreux manquements ont été relevés à cet égard, attentatoires à la nécessité de surprotéger ces enfants et leurs données, en particulier sur Internet.

 

Instagram touchant la plupart des pays européens, plusieurs autres autorités nationales étaient compétentes pour connaître du dossier (France, Allemagne, Italie, Norvège, Finlande, Pays-Bas). La DPC irlandaise, désignée Chef de File et conformément aux règles de procédure du RGPD, a donc soumis son projet de décision à ces autres autorités, ledit projet n'identifiant pas autant de manquements réels de Meta IE que la décision finale. Ces autorités ont alors émis des objections nombreuses, manifestant leur désaccord avec la position de la DPC, jugée trop laxiste au regard des règles de l'article 6 du RGPD. Dans son rôle d'arbitre, le CEPD s'est saisi du dossier, afin d'examiner ces objections et rendre une décision, en l'occurrence contraignante, à l'intention de la DPC. Il a obligé l'autorité irlandaise à revenir sur son analyse et sur sa décision, et à prononcer une amende « dissuasive » particulièrement élevée.

 

Les faits de l'affaire peuvent être résumés schématiquement comme suit :

 

L'ouverture d'un compte Instagram, par un majeur comme par un enfant (à partir de 13 ans sur Instagram), nécessite naturellement l'acceptation des conditions générales d'utilisation d'Instagram. D'ores et déjà se pose la question préalable de la capacité juridique d'un mineur à contracter, question qui varie selon les pays de l'Union.

 

A chaque compte individuel Instagram, correspond évidemment un certain nombre d'informations personnelles de contact, identifiant et caractérisant ledit compte. Un compte individuel classique est paramétré comme public (visible des utilisateurs) par défaut, sauf au titulaire à opter pour un compte privé.

 

Instagram propose également des comptes « business » publics. Tout titulaire de compte individuel (mineurs compris), s'il a une activité professionnelle, peut transformer son compte individuel en compte professionnel.

 

L'ouverture d'un compte « business » requiert le renseignement d'informations de contact supplémentaires, tels un email et/ou un numéro de téléphone. Compte-tenu de la nature professionnelle de ces comptes, ces informations supplémentaires étaient paramétrées par Instagram pour être publiquement accessibles sur le profil du titulaire, à tout utilisateur d'Instagram, sans filtre ni cryptage. En outre, ces mêmes données, en raison d'un code source trop ouvert, pouvaient être accessibles sur Internet à un public plus large, non utilisateur d'Instagram.

 

Les deux principaux types de manquements potentiels concernaient donc :

  • Le caractère public obligatoire des emails et/ou numéros de téléphone des titulaires mineurs de comptes professionnels ;
  • Le paramétrage « public » par défaut, des comptes individuels des utilisateurs mineurs.

 

La première question qui se posait donc était : Instagram est-elle légitime à imposer le caractère public par défaut des données personnelles de comptes professionnels, lorsque le compte est détenu par un mineur ?

 

Pour justifier une telle publication de données personnelles par défaut, sans consentement spécifique préalable, Meta invoquait deux bases légales, selon que la législation du pays concerné autorisait ou non un enfant à contracter valablement : (i) le contrat (les CGU d'Instagram) en cas de capacité juridique du mineur ou (ii) l'intérêt légitime de Meta, en cas d'incapacité juridique du mineur.

 

Le CEPD rappelle tout d'abord que, quel que soit le traitement, les mineurs doivent bénéficier d'une protection renforcée et très adaptée à leurs risques spécifiques, et d'une information claire et compréhensible, ces deux règles étant plus exigeantes que applicables pour un traitement ciblant les adultes.

 

Abordant la question de la base légale contractuelle (article 6(1)(b), le CEPD a également rappelé que, dans ce cas, deux critères devaient être remplis : (i) l'existence d'un contrat licite (sujet variable selon les législations applicables à la capacité juridique d'un mineur) et (ii) le fait que le traitement devait être « objectivement nécessaire » à l'exécution dudit contrat à l'égard de la personne concernée.

 

Ainsi, le CEPD a jugé que les CGU d'Instagram, très longues et détaillées comme toutes celles des réseaux sociaux :

 

(i) étaient rédigées de manière uniforme, quel que soit l'utilisateur, sans adapter leur langage aux cas particuliers de mineurs ni leur proposer de mesures de protection spécifiques,


(ii) étaient peu compréhensibles pour un enfant,


(iii) n'apportaient aucune précision sur ce traitement particulier des comptes professionnels,


(iv) et surtout (iv) ne démontraient en rien en quoi la publication obligatoire des données personnelles des comptes 'business' détenus par des mineurs était « objectivement nécessaire » au traitement de ce type de compte. En outre, avant 2019, le mineur n'était pas en mesure de refuser cette publicité, option qui ne fut ajoutée qu'en septembre 2019.

 

Abordant ensuite la question de la base légale 'intérêt légitime' (article 6(1)(f) RGPD), en cas d'incapacité du mineur à contracter des CGU, le CEPD a tout d'abord rappelé le caractère d'exception de cette catégorie-ci de base légale, dont le choix doit donc être justifié avec plus de rigueur. Lorsque cette base légale est invoquée, le responsable de traitement doit notamment établir, aux termes d'une balance des intérêts en cause, que les droits et libertés fondamentaux des individus concernés ne priment pas sur l'intérêt allégué de l'entreprise.

 

Le CEPD a estimé que, dans ce cas de traitement des comptes 'business', la publicité obligatoire de ces données de contact (avant 2019) n'était ni indispensable à l'exploitation des comptes professionnels ni légitime au point de primer sur les droits et libertés fondamentaux d'un mineur. Pour la période postérieure à l'ajout d'une option de refus (opt-out), en septembre 2019, le CEPD a également jugé que, malgré cette mise en conformité avec les règles standard de l'intérêt légitime, cela ne suffisait pas à compenser le niveau de risques pesant sur la publicité de données de mineurs, ni les conséquences de la survenance de ces risques.

 

La seconde question qui se posait était : Instagram est-elle légitime à imposer, par défaut, la publicité d'un compte Instagram normal ouvert par un enfant, plutôt que son caractère privé ?

 

La DPC, non contredite par le CEPD, a considéré que, si la 'politique données personnelles' d'Instagram comportait bien une information sur les finalités poursuivies, supposées justifier cette publicité par défaut :

 

  1. Ces finalités n'étaient pas exprimées en termes suffisamment adaptés et accessibles à un mineur pour être considérés comme « clairs et transparents » au sens de l'article 12(1) du RGPD.
  2. Ce paramétrage par défaut n'apparaissait pas indispensable à la réalisation des finalités prévues ;
  3. Instagram ne justifiait pas avoir pris des mesures techniques et organisationnelles adaptées à la protection des risques spécifiques pesant sur l'exploitation de données personnelles d'enfants.

 

En définitive, le CEPD rappelait les règles applicables, contextuelles et principielles, pour évaluer le montant d'une amende administrative, notamment sa nature potentiellement dissuasive. Ces règles étaient aggravées par le caractère négligent, voire intentionnel, de certains des manquements relevés par la DPC.

 

Au total, le cumul des sanctions pour les divers manquements identifiés atteint 405 millions d'euros, une somme inédite dans l'histoire du CEPD.

 

A travers cette décision et cette sanction volontairement exemplaires et dissuasives, le CEPD adresse un signal clair aux opérateurs économiques accueillant, voire ciblant, des personnes mineurs, en particulier sur Internet, terreau sans frontières, fertile aux abus :

Adaptez vos traitements aux exigences très spécifiques de surprotection des données personnelles des mineurs, même si cela requiert des procédures bien plus exigeantes que celles appliquées aux adultes !

 

Après une autre décision de la DPC irlandaise, plus tôt ce même mois de juillet, interdisant le transfert des données des utilisateurs de Facebook et Instagram du Vieux Continent vers les Etats-Unis, en raison des droits de regard de certaines autorités américaines, cette nouvelle décision alimente la réflexion de Meta de maintenir ou non, en Europe, ses deux applications reines.

 

Combat entre deux conceptions des libertés fondamentales, le brase de fer est tendu entre les intérêts publics défendus par un texte normatif aussi exigeant que le RGPD, et les intérêts de plateformes internationales, basés sur une vision très libérale des droits individuels.

 

[1] Record fine for Instagram following EDPB intervention | European Data Protection Board (europa.eu)

CONTACT

Contact Person Picture

Frédéric Bourguet

Avocat

Associate Partner

+33 6 49 20 15 64
+33 6 4920 1564

Envoyer la demande

Nous aimons vous conseiller !
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu