L’autorité de contrôle Irlandaise a infligé le 4 janvier 2023 une sanction à l’entreprise Meta, basée en Irlande, pour manquements graves à la réglementation sur la protection des données personnelles. Selon la DPC (Data Protection Commission), Meta n’a pas respecté les règles concernant la légitimité de la base légale lors de la modification des conditions de ses services Facebook et Instagram.
En effet, Meta Ireland se basait auparavant sur le consentement des utilisateurs pour traiter leurs données personnelles lors de l’utilisation de ses services, notamment pour la publicité comportementale sur Facebook et Instagram. La position de l’entreprise américaine a changé, puisqu’en considérant qu’en acceptant ses nouvelles conditions, un contrat était conclu entre l’utilisateur et Meta Ireland, elle a pris parti de se baser principalement sur la base juridique du « contrat » pour la plupart de ses opérations de traitement de données.
Meta Ireland a affirmé que le traitement des données des utilisateurs pour la fourniture de ses services sur Facebook et Instagram était nécessaire pour exécuter le contrat conclu avec eux et justifiait donc légalement ces opérations de traitement en se référant à l’article 6, paragraphe 1, point b) du RGPD (base juridique du « contrat »). Cela incluait la personnalisation des services et la publicité comportementale.
Cependant, les plaignants ont soutenu que Meta Ireland cherchait en réalité toujours à se baser sur le consentement des utilisateurs pour justifier légalement son traitement de leurs données. Ils ont affirmé qu’en rendant l’accès à ses services dépendant de l’acceptation par les utilisateurs des conditions de service mises à jour, Meta Ireland les « forçait » en réalité à consentir au traitement de leurs données personnelles à des fins de publicité comportementale et de services personnalisés, ce qui constituait une violation du RGPD.
L’autorité a donc imposé une amende de 210 millions et de 180 millions d’euros respectivement à l’encontre de Facebook et Instagram. Cette décision a été prise dans le cadre de l’application de la réglementation européenne sur la protection des données personnelles (RGPD), qui a été mise en place en 2018 pour garantir la protection des données personnelles des citoyens de l’Union européenne.