Meta, maison mère de Facebook, s’est vu infliger jeudi une amende de 5,5 millions d’euros (8 millions de dollars canadiens) du régulateur irlandais pour avoir enfreint le règlement européen sur les données (RGPD) avec sa messagerie WhatsApp, d’une ampleur limitée comparée à celle de 390 millions d’euros (568 millions $) reçue début janvier.

Dans cette nouvelle décision, la Commission irlandaise pour la protection des données (DPC) estime que le géant numérique n’a pas respecté ses « obligations en matière de transparence » et se fondait sur une base juridique erronée « pour son traitement des données personnelles à des fins d’amélioration du service et de sécurité ».

Le régulateur, qui agit pour le compte de l’UE, donne six mois au groupe californien pour se mettre en conformité.

Cette sanction se fonde sur des motifs similaires à celle annoncée début janvier, qui visait les réseaux sociaux Facebook et Instagram.

Mais la décision précédente reprochait en outre à ces filiales de Meta des manquements liés au traitement des données personnelles à des fins de publicité ciblée, menaçant donc de peser sur les revenus publicitaires du groupe.

Meta avait immédiatement annoncé son intention de faire appel et s’était empressée d’ajouter que la sanction n’empêchait pas la publicité personnalisée.

L’association de défense de la vie privée Noyb, à l’origine de ces procédures lancées en 2018, avait accusé le groupe de réinterpréter le consentement « comme un simple contrat de droit civil », qui ne permet pas, notamment, de refuser ce type de réclames individualisées.

L’amende est cette fois bien moindre, parce qu’elle ne porte pas sur la publicité ciblée mais aussi car « la DPC avait déjà infligé une amende très substantielle de 225 millions d’euros à WhatsApp » pour des faits qui portaient « sur la même période », fait-elle valoir.

Le régulateur avait en effet reproché à WhatsApp, en septembre 2021, d’avoir failli à ses obligations de transparence, en particulier sur les transferts de données vers d’autres sociétés du groupe.

Meta a annoncé qu’il ferait également appel de la décision de jeudi, estimant dans une déclaration transmise à l’AFP que « le fonctionnement (de WhatsApp) est à la fois techniquement et juridiquement conforme » à la réglementation européenne.

Trop bienveillante

Mais l’association Noyb juge au contraire que la nouvelle sanction ne va pas assez loin, expliquant dans un communiqué que « si WhatsApp ne fournit pas de publicités personnalisées, il fournit des “métadonnées” à Facebook et Instagram ».

Ces dernières, si elles ne trahissent pas le contenu des messages, « révèlent de nombreuses informations » sur les interlocuteurs de l’usager et ses habitudes, « qui peuvent ensuite être utilisées pour personnaliser la publicité » sur les autres plateformes du groupe, affirme l’association.

L’autorité irlandaise de protection des données est compétente pour agir au nom de l’UE car le siège européen de Meta se trouve en Irlande, comme de nombreux géants de la Silicon Valley, dont la présence est cruciale pour l’activité économique du pays.

Mais la DPC est trop bienveillante, selon nombre de ses pairs : en octobre 2021, elle avait proposé un projet de décision qui validait la base juridique utilisée par Meta et suggérait une amende de 36 millions d’euros maximum (52 millions $) pour Facebook et d’au plus 23 millions (33 millions $) pour Instagram pour défaut de transparence.

La Cnil française et d’autres régulateurs avaient exprimé leur désaccord, jugeant cette sanction beaucoup trop faible. Ils avaient demandé au comité européen de la protection des données (CEPD), le régulateur européen du secteur, de juger le différend, et ce dernier leur a donné raison sur la question de la base juridique dans trois décisions contraignantes, intimant à la DPC d’être plus sévère.

Le gendarme irlandais avait par ailleurs condamné Meta en septembre à une amende de 405 millions d’euros (590 millions $) pour des manquements dans le traitement des données de mineurs, et en novembre à hauteur de 265 millions d’euros (386 millions $) pour ne pas avoir protégé suffisamment les données de ses utilisateurs.

Parallèlement, le CEPD a également demandé à la DPC de mener une nouvelle enquête pour en savoir plus sur l’utilisation des données personnelles par Meta.

Mais l’autorité irlandaise estime que le régulateur européen n’a pas le pouvoir de lui ordonner « de s’engager dans une enquête ouverte et spéculative », selon son communiqué, et s’apprête à introduire un recours en annulation de cette requête devant la justice européenne.