Une amende record a été prononcée à l’encontre d’Instagram par la Cnil irlandaise. Cette sanction aurait pu ne jamais être infligée sans l’intervention d’une instance européenne.

Sans l’action du Comité européen pour la protection des données, Instagram aurait peut-être échappé à son amende record de 405 millions d’euros, dont on a appris l’existence début septembre 2022. L’autorité irlandaise de protection des données avait initialement eu une première lecture de la situation qui l’amenait à ne prendre aucune sanction contre le réseau social, filiale de Meta (Facebook, WhatsApp).

Dans cette affaire, c’était la configuration de comptes utilisés par des enfants qui posait un problème. Certains d’entre eux avaient réglé leur profil en compte professionnel. Or, ce format rend publiques certaines données personnelles, dont les numéros de téléphone et les adresses électroniques. Une plainte avait été déposée fin 2020 et l’instance irlandaise avait également lancé un contrôle. Mais, celui-ci n’a pas donné satisfaction.

insta (1)
405 millions d’euros contre Instagram. Une amende qui a failli ne pas être prononcée. // Source : Canva

La Cnil irlandaise corrige son appréciation de la situation

Comme le note le 15 septembre 2022 la Commission nationale de l’informatique et des libertés (Cnil), qui est l’homologue en France de l’autorité irlandaise, le projet de décision contenait une analyse divergente de l’appréciation du Comité européen. Il lui a donc fallu agir pour demander à l’instance irlandaise de modifier son texte, afin d’établir un manquement au Règlement général sur la protection des données (RGPD). Ici, l’absence de base juridique pour le traitement de données personnelles d’enfants.

Le règlement octroie des prérogatives au Comité, qui l’autorisent à adopter des décisions juridiquement contraignantes en cas de litige entre autorités de contrôle, d’établir des lignes directrices et de s’assurer que le RGPD est appliqué de façon cohérente dans l’Union européenne. Des attributs que le Comité a mobilisés pour la toute première fois, relève la Cnil, justement parce qu’un désaccord émergeait entre des autorités de contrôle.

Cette première intervention du Comité est un signal non seulement pour l’autorité irlandaise, mais aussi pour toutes les entreprises du numérique établies en Irlande et qui espéraient peut-être une certaine magnanimité de sa part : d’autres autorités de contrôle peuvent faire entendre un tout autre son de cloche et exiger une plus grande fermeté. Et le Comité dispose de l’autorité nécessaire pour demander à l’instance irlandaise de mieux interpréter le RGPD.