17 millions d’euros. C’est le montant que la Cnil irlandaise a retenu pour sanctionner Facebook pour une série d’infractions au RGPD.

Les uns verront le verre à moitié plein, en constatant que Facebook, devenu Meta, a encore été sanctionné pour avoir enfreint le Règlement européen sur la protection des données (RGPD). Les autres le trouveront à moitié vide, car l’amende infligée au géant des réseaux sociaux est d’un montant dérisoire, et certainement insuffisant pour dissuader le groupe de jouer avec le feu.

Toujours est-il que l’autorité irlandaise de protection des données, qui équivaut en France à la Commission nationale de l’informatique et des libertés (Cnil), a prononcé le 15 mars 2022 une peine de 17 millions d’euros pour une série d’incidents qui ont eu lieu sur une période relativement brève de six mois, entre le 7 juin et le 4 décembre 2018.

profilfacebook
Le périmètre de la sanction irlandaise recouvre 12 incidents survenus en 2018. // Source : Joshua Hoehne

L’instance irlandaise punit ici le fait que « Meta n’a pas mis en place les mesures techniques et organisationnelles appropriées qui lui permettraient de démontrer facilement les mesures de sécurité qu’elle a mises en œuvre dans la pratique pour protéger les données des utilisateurs de l’UE, dans le contexte des 12 violations de données personnelles. »

Au sein de l’Union européenne, la Data Protection Commission (DPC), comme elle s’appelle, est devenue l’autorité de régulation « tête de file » pour traiter les affaires liées au RGPD lorsqu’elles impliquent de grands groupes américains comme Facebook ou Google. En effet, c’est en Irlande que la plupart de ces entreprises ont installé leur QG européen.

Des sanctions jugées trop basses

La DPC s’avère donc le réceptacle qui finit par centraliser toutes les plaintes au sein de l’Union. Elle est aussi la cible de reproches, car d’aucuns la trouvent un peu trop laxiste, lente et indulgente envers ces très grandes entreprises, dont le poids économique en Irlande n’est pas tout à fait négligeable. En début d’année, il a fallu que Bruxelles vienne défendre le travail de la DPC.

Il est vrai que la mise en balance du montant de l’amende décidé par la DPC face aux revenus annuels de Meta (environ 118 milliards de dollars annuels en 2021, soit 107 milliards d’euros) ne va pas dans le sens d’une implacable sévérité, alors même que le RGPD autorise, dans certaines circonstances, des amendes dont le montant peut atteindre 4 % du chiffre d’affaires mondial.

Le revenu annuel de Meta en 2020 peut être ramené à une moyenne quotidienne de 293 millions d’euros. Et si l’on divise ce montant par les 24h d’une journée, on atteint un peu plus de 12 millions d’euros. Autrement dit, l’impact de la sanction prise par la DPC représente grossièrement une bonne heure et demie des revenus du réseau social. Et cela pour 12 fuites.

Ce n’est pas la première fois que la DPC est pointée du doigt pour sa supposée magnanimité. Lorsque l’instance avait voulu infliger une amende de 50 millions d’euros à WhatsApp, une filiale de Facebook, ses homologues européennes de l’instance irlandaise étaient intervenues pour lui faire comprendre qu’il faudrait se montrer un peu plus intransigeante.

Au final, l’amende a été rehaussée à 225 millions d’euros.