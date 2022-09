L’autorité de régulation irlandaise dédiée aux données personnelles a prononcé une sanction de 400 millions d’euros contre Instagram. En cause : des défauts dans la protection des données de mineurs.

La peine fait désormais partie des sanctions les plus élevées prises dans le cadre du Règlement général sur la protection des données (RGPD). Le 5 septembre 2022, le média américain Politico a appris la décision de l’autorité de régulation irlandaise (DPC) d’infliger une amende de 405 millions d’euros à Instagram, la filiale de Meta — et accessoirement maison mère de Facebook et WhatsApp.

Des comptes transformés en profils pro, dont les données devenaient publiques

À l’origine du problème, la façon dont les données personnelles d’internautes mineurs ont été gérées par le réseau social dédié au partage de photos et de vidéos. Les infractions portent sur la diffusion de mails et de numéros de téléphone — des informations de contact sensibles. Ces éléments étaient visibles publiquement.

Instagram autorise l’inscription d’internautes qui sont âgés entre 13 et 18 ans. Ses conditions d’utilisation, en revanche, s’opposent en principe à la présence d’enfants plus jeunes. Mais cette inscription est souvent défiée par des mineurs plus jeunes, qui mentent sur leur âge en créant leur compte. Instagram s’efforce d’empêcher ces arrivées, sans y parvenir complètement.

« Et hop, compte perso transformé en compte pro ! » // Source : Nenad Stojkovic

Mais dans cette affaire, le souci tient au fait que certains mineurs ont transformé leur compte Instagram standard en compte professionnel. Les outils pour transformer un profil étaient trop facilement accessibles. Lorsque la plainte contre le site a été déposée, fin 2020, il était estimé à 5 millions le nombre d’enfants qui ont eu leurs données exposées.

La hauteur de la sanction décidée par l’homologue irlandaise de la Commission nationale de l’informatique et des libertés (Cnil) a pris en compte la nature des victimes, l’ampleur du problème et le nombre d’infractions au RGPD. Elle se place en deuxième position des peines les plus fortes, après celle ciblant Amazon — 746 millions d’euros en juillet 2021.

L’affaire pourrait ne pas en rester là, Meta conservant la possibilité de faire appel du verdict de l’autorité de régulation. À Politico, l’entreprise a d’ailleurs paru regretter que le DPC ne prenne pas en compte les changements de sécurité les plus récents pour assurer la protection des enfants et qu’il a poursuivi son enquête « sur d’anciens paramètres […] mis à jour il y a plus d’un an ».