Le 2 septembre 2022, la commission irlandaise de protection des données (Irish Data Protection Commission), l’équivalent de la CNIL française, a condamné la plateforme Instagram au paiement d’une amende record de 405 millions d’euros pour violation des règles du RGPD en matière de protection des données personnelles des utilisateurs mineurs.
La commission invoque alors la négation de l’article 6-1 du RGPD, ce dernier énonçant que “le traitement n’est licite que si a) la personne concernée a consenti au traitement des données à caractère personnel pour une ou plusieurs finalités spécifiques”.
Une condamnation fondée sur des manquements en matière de protection des données personnelles des utilisateurs mineurs
Divers manquements en matière de protection des données personnelles et de la vie privée des utilisateurs mineurs européens sont reprochés à Instagram.
En effet, cette décision résulte d’une investigation ouverte dès 2020 et focalisée sur les utilisateurs mineurs âgés de 13 à 17 ans ayant un compte Instagram professionnel, visant à déterminer si la plateforme mettait en place des protections suffisantes à l’égard des données des utilisateurs mineurs.
Or il ressortait de ces investigations qu’Instagram avait rendu publiques les adresses mails ou téléphones des utilisateurs mineurs étant inscrits sur un compte professionnel, les rendant ainsi visibles par tous les utilisateurs de la plateforme. De plus, l’enquête révèle que les comptes personnels des mineurs étaient automatiquement paramétrés, dès leur création, par défaut comme des comptes publics.
Il en résulte que ces manquements en matière de protection des données personnelles des mineurs exposaient ces derniers à d’importantes atteintes à leur vie privée. Ainsi, cette décision tend à mettre en évidence la nécessité de protéger les adolescents contre toute atteinte à leurs données personnelles et à assurer la confidentialité de leurs informations.
L’autorité de régulation irlandaise suggère alors que les comptes d’utilisateurs mineurs soient, par défaut, automatiquement restreints aux abonnées approuvés préalablement.
Ainsi, cette condamnation pour manquements en matière de protection des données personnes des utilisateurs mineurs constitue la première historique en la matière et est particulièrement importante au regard du montant regard de l’amende infligée (II).
Une décision historique condamnant Instagram à une amende record, s’inscrivant dans le prolongement des condamnations de WhatsApp et Facebook
La décision de la commission irlandaise de protection des données constitue non seulement la première historique en matière de protection des données personnelles des enfants, mais compté également parmi les amendes infligées les plus élevées en la matière.
Pourtant, cette affaire ne semble pas isolée. En effet, ce n’est pas la première fois qu’Instagram est suspecté de violer les règles relatives à la protection, plus générale, des consommateurs et notamment des jeunes utilisateurs sur sa plateforme. Dès 2021, un rapport de The Wall Street Journal révélait que des études mettaient en évidence les effets nocifs générés sur “l’image corporelle chez les adolescents”. Jusqu’alors dénonçant les atteintes causées à “la santé physique et mentale des adolescents”, c’est désormais sur le fondement de la protection des données personnelles qu’Instagram fait l’objet de condamnations.
D’ailleurs, il convient de souligner que les violations du RGPD tendent à se généraliser. En effet, la CNIL irlandaise poursuit parallèlement six autres enquêtes sur des entreprises appartenant au groupe Meta, à l’égard desquelles elle fait preuve d’un rigoureux contrôle et d’une importante prudence. Déjà en 2021, Whatsapp avait été condamné au paiement de 225 millions d’euros, puis Facebook au paiement d’une amende de 17 millions d’euros en mars 2022 pour manquement en matière de protection des informations de ses utilisateurs européens s’agissant de fuites de données en 2018.
Toutefois, malgré l’ampleur des condamnations précédentes, la sanction de 405 millions d’euros infligée à Instagram devient la plus élevée à l’encontre d’une entreprise appartenant à Meta. Un tel montant est en effet rendu possible par l’article 83 du RGPD, ce dernier admettant que “les violations desdites dispositions peuvent faire l’objet d’amendes pouvant aller jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaire annuel mondial total de l’exercice précédent”.
Ainsi, cette décision historique et d’une ampleur record semble apte à conduire Instagram à se conformer aux exigences dans sa nouvelle pratique (III).
Instagram tente de se défendre, en invoquant des pratiques anciennes aujourd’hui révolues
Face à une telle condamnation, Instagram a d’ailleurs tenté de se défendre en invoquant que cette dernière se fondait sur d’anciennes pratiques, aujourd’hui révolues. À ce titre, un porte-parole de Meta, la maison mère d’Instagram, a déclaré “cette enquête s’est concentrée sur d’anciens paramètres que nous avons actualisé il y a plus d’un an. Nous avons depuis publié de nombreuses nouvelles fonctionnalités pour aider à assurer la sécurité des adolescents et la confidentialité de leurs informations”.
Instagram a alors fait part de sa volonté de faire appel de cette amende.
Désormais, Il semblerait donc que tous les utilisateurs mineurs européens bénéficient automatiquement d’un compte paramétré par défaut comme privé, “de sorte que seules les personnes qu’elles connaissent peuvent voir ce qu’elles publient”.
Il conviendra alors, dans les mois et années à venir, de rester vigilant sur la prise en considération croissante par les entreprises appartenant à Méta de l’intérêt des utilisateurs mineurs à la protection rigoureuse de leurs données personnelles.