Actuellement, les GAFAM ont une influence très importante sur le numérique. Il s’agit de géants du net, tels que Google, Apple, Facebook, Amazon et Microsoft, qui dominent le secteur des technologies d’information et de la communication.
Meta, initialement connue sous le nom de Facebook, est une entreprise multinationale qui détient outre Facebook, Instagram, WhatsApp et Oculus VR. Cette entreprise a connu une évolution exponentielle depuis 2009. Le chiffre d’affaires de Meta est de plus de 164 milliards de dollars en 2024 avec près de 3,35 milliards d’utilisateurs sur l’ensemble du groupe d’application.
Le Règlement général sur la protection des données (RGPD) est un règlement de l’Union européenne du 24 mai 2016 et qui est entré en vigueur le 25 mai 2018. Le RGPD pose, outre des principes relatifs au traitement des données à caractère personnel, des obligations incombant au responsable du traitement et au sous-traitant. Ce règlement prévoit à l’article 83 une amende administrative en cas de manquement aux obligations prévues par le RGPD, pouvant s’élever jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
C’est dans ce contexte que Meta a été condamnée par la CNIL irlandaise le 27 septembre 2024, au paiement d’une amende de 91 millions d’euros. Cette sanction a été prononcée en raison de la violation, par Meta, des obligations de sécurité imposées par le RGPD.
La compétence de la CNIL irlandaise
La Data Protection Commission (DPC) située en Irlande est l’équivalent de la Commission nationale informatique et libertés (CNIL) en France. Cette CNIL irlandaise a un rôle très important vis-à-vis du RGPD.
En effet, afin que le RGPD soit applicable, il faut que les grandes multinationales qui ont un leur siège principal à l’extérieur de l’Union européenne, aient aussi un siège social au sein de l’UE. La plupart de ces multinationales, comme Meta ou Apple, ont établi leur siège européen en Irlande. Ce choix est purement économique, car l’Irlande offre de nombreux avantages fiscaux.
Le contrôle du respect des obligations du RGPD est soumis, dans chaque Etat membre de l’Union européenne, à une autorité de contrôle compétente. En France, l’autorité compétente est la CNIL et en Irlande il s’agit de la Data Protection Commission.
La CNIL irlandaise est assurément l’une des autorités de contrôle les plus importantes au sein de l’UE. Elle est compétente afin garantir la conformité de ces grandes multinationales au RGPD.
Les manquements de Meta au RGPD
En 2019, Facebook avait reconnu que des mots de passe d’un grand nombre d’utilisateurs étaient stockés dans ses systèmes sous un format lisible. Suite à cela, la DPC a effectué une enquête afin de déterminer si les obligations de sécurité et d’information incombant à Meta avaient été respectées.
L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette disposition implique notamment de pseudonymiser et de chiffrer les données à caractère personnel. L’article 33 du RGPD impose au responsable de traitement de notifier toute violation de données à caractère personnel à l’autorité de contrôle.
Selon l’enquête réalisée par la CNIL irlandaise, Meta n’a pas notifié cette violation de données à caractère personnel et elle n’a pas respecté ses obligations de documentation. La CNIL irlandaise estime qu’aucune mesure technique et organisationnelle appropriée n’a été mise en œuvre afin d’assurer un niveau de sécurité adapté au risque.
La violation de la confidentialité des mots de passe des utilisateurs par Meta et son inaction nécessitent donc une sanction. La CNIL irlandaise a donc prononcé une amende administrative de 91 millions d’euros, à l’égard de Meta, pour sa non-conformité aux obligations du RGPD.
Julie Branco de Véra
M2 Cyberjustice – Promotion 2024-2025
Sources :
Règlement – 2016/679 – EN – rgdp – EUR-Lex
Meta: chiffre d’affaires 2023 | Statista
