INSTAGRAM sanctionné pour avoir publié les coordonnées de mineurs

L’autorité irlandaise de protection des données (DPC) a sanctionné la société META PLATFORMS (ex-FACEBOOK)^[1], car le réseau social Instagram, que la société édite, traitait les données personnelles de mineurs sans respecter les exigences du RGPD.

Instagram permettait aux mineurs de créer un compte et d’utiliser la plateforme. Une fois créé, le site « INSTAGRAM.COM » donnait la possibilité à ces utilisateurs mineurs de modifier leur compte et de passer d’un compte « personnel » à un compte « entreprise ». Cette modification permettait aux utilisateurs d’obtenir des informations additionnelles sur leurs abonnés, mais avait également pour conséquence d’afficher des informations supplémentaires sur leur profil, dont leur numéro de téléphone et leur adresse e-mail. Ces coordonnées étaient publiquement accessibles par les autres abonnés d’Instagram et par les personnes ne disposant pas d’un compte Instagram.

Au cours du processus de transformation d’un compte « personnel » en un compte « entreprise », Instagram affichait un écran intitulé « Vérifiez vos coordonnées » pour permettre au titulaire du compte de consulter, et éventuellement de modifier, le numéro de téléphone ou l’adresse e-mail associés au compte. Jusqu’au 4 septembre 2019, Instagram ne proposait toutefois pas la possibilité de s’opposer à la diffusion publique de ces informations.

La société META PLATFORMS a indiqué que la publication des coordonnées de mineurs était prévue par les conditions générales d’utilisation d’Instagram et que ces conditions forment un « contrat » entre les auteurs (mineurs) des comptes et la société que les personnes (mineures) acceptent lors de la création de leur compte sur la plateforme. La société précise toutefois que, si l’auteur (mineur) d’un compte n’a pas la capacité de s’engager dans un tel contrat, dans les pays où des lois nationales existent pour protéger les mineurs par exemple, la publication des coordonnées était justifiée par les « intérêts légitimes »^[2] de la société et par les « intérêts légitimes » des autres utilisateurs d’Instagram.

La Commission irlandaise a considéré, dans un premier temps, que cette justification était valable. Cette interprétation n’a cependant pas été partagée par de nombreuses autres autorités européennes, qui ont demandé au Comité européen sur la protection des données (EDPB) d’intervenir pour forcer la Commission irlandaise à revoir sa copie.

Publier les coordonnées en application des conditions d’utilisation

Concernant l’application des conditions générales pour justifier la publication des coordonnées des mineurs, le Comité européen a rappelé qu’un traitement de données peut être justifié par l’application d’un contrat uniquement si un tel contrat existe réellement, si le contrat respecte la loi et si le traitement de données est « strictement nécessaire » à la réalisation de ce contrat. Le responsable du traitement est toutefois tenu de prouver que les informations fournies dans le contrat permettent à un « utilisateur ordinaire » de comprendre le caractère nécessaire des traitements effectués.

Dans le cas d’Instagram, ce dernier point est problématique, d’une part, car les conditions d’utilisation contenaient uniquement des informations générales à destination des mineurs et, d’autre part, car aucune information spécifique n’était fournie concernant les comptes « entreprise ». Les utilisateurs mineurs d’Instagram ne pouvait, par conséquent, pas « raisonnablement s’attendre » à voir leurs coordonnées diffusées publiquement sur leur page.

« les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel, car ils peuvent être moins conscients des risques, des conséquences et des mesures de protection concernés, ainsi que de leurs droits en matière de traitement des données à caractère personnel »

La société META PLATFORMS ne pouvaient donc pas justifier un tel traitement de données par l’application d’un contrat liant la société et les utilisateurs mineurs.

Publier les coordonnées en raison « d’intérêts légitimes »

Concernant la poursuite « d’intérêts légitimes » pour justifier la publication des coordonnées des mineurs, l’EDPB a rappelé que ce motif est acceptable uniquement si les trois conditions suivantes sont vérifiées :

• si l’intérêt légitime poursuivi existe réellement ;
• si le traitement de données est nécessaire pour atteindre cet intérêt légitime ; et
• si les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent pas.

Concernant l’existence des intérêts légitimes, l’EDPB a rappelé que ces intérêts devaient être « légaux », ne pas être « hypothétiques » et être également « clairement identifiés ».

Dans le cas d’Instagram, la société META PLATFORMS a indiqué que ses intérêts légitimes étaient « la création, la fourniture et la maintenance de produits et fonctionnalités innovants qui permettent aux personnes mineures de s’exprimer, de communiquer et de collaborer avec des informations et des communautés en rapport avec leurs intérêts et de construire une communauté » et que les intérêts légitimes des autres utilisateurs d’Instagram étaient « d’entrer en contact avec les auteurs de comptes entreprises ».

Ces intérêts ont été jugés par l’EDPB comme « décrits de manière vague », « particulièrement le second ». Le Comité estime, par conséquent, qu’il ne peut pas juger si ces intérêts sont réels et légaux.

Concernant la nécessité du traitement, l’EDPB a rappelé que le caractère nécessaire d’un traitement doit être estimé en prenant en compte les objectifs recherchés et l’existence d’alternatives moins intrusives.

Dans le cas d’Instagram, des alternatives, qui « ne réduisent pas de manière significative la possibilité d’entrer en contact », étaient possibles, en utilisant la messagerie intégrée à la plateforme par exemple. Cette alternative était même plébiscitée par certains utilisateurs d’Instagram selon les dires de la société. L’EDPB estime, par conséquent, que des « doutes significatifs » existent sur la nécessité d’un tel traitement.

Concernant l’équilibre entre les intérêts de la société et les intérêts des mineurs, l’EDPB a rappelé qu’il était nécessaire d’évaluer le niveau d’intrusion du traitement en prenant en compte sa probabilité, son intensité, ses conséquences et l’existence de mesures visant à diminuer les effets négatifs du traitement.

Dans le cas d’Instagram, la publication des coordonnées créait « de sérieux risques » pour les mineurs, notamment « la possibilité qu’un individu dangereux entre en contact avec les utilisateurs mineurs, à la fois sur la plateforme d’Instagram et en dehors », d’autant plus que les « mesures et protections mises en place par [META] n’étaient pas adéquates », car la société n’avertissait pas les utilisateurs mineurs que la publication de leurs coordonnées entrainait de « graves risques ». L’EDPB conclut, par conséquent, que les droits et libertés des utilisateurs mineurs devaient prévaloir.

Enfin, concernant le fait que les utilisateurs mineurs avait la possibilité, à partir du 4 septembre 2019, de s’opposer à la publication de leurs cordonnées, l’EDPB estime que sa conclusion reste inchangée, car les utilisateurs mineurs n’étaient toujours pas informés des risques.

Une sanction de 405 millions d’euros a été prononcée à l’encontre de la société META PLATFORMS, soit 0,34 % de son chiffre d’affaires^[3].

Lire :

• La Décision contraignante de l’EDPB n° 02/2022 adoptée le 28 juillet 2022 concernant l’Irlande et la société META PLATFORMS IRELAND LIMITED (INSTAGRAM) (en anglais)

Ma réaction à cette décision

Depuis l’entrée en application du RGPD en 2018, l’EDPB est intervenu à quatre reprises pour remettre en cause les décisions des autorités nationales. Sur ces quatre interventions, trois visaient la Commission irlandaise, suite à une interprétation trop laxiste de la réglementation. Cette procédure pose une nouvelle fois la question de l’indépendance de la Commission irlandaise et de sa réelle volonté, d’une part, d’appliquer la réglementation et, d’autre part, de protéger les européens.

Concernant le coupable de l’histoire, FACEBOOK, qui a changé son nom récemment en META PLATFORMS, le cœur de métier de la société est de manipuler des données personnelles et de les faire fructifier. Tout semble d’ailleurs acceptable pour FACEBOOK, tant que cela ramène du cash, même publier les coordonnées d’enfants. Tant pis si cela leur fait peser de « graves risques » ou si des « individus dangereux » les approchent. Après tout, ils ont accepté les conditions d’utilisation (incompréhensibles, même pour un adulte aguerri). Puis, s’ils ne les comprennent pas ou s’ils ne sont pas en mesure de les accepter, FACEBOOK le fait quand même, car la société considère que ses intérêts sont bien plus importants.

Cette sanction de 405 millions d’euros contre FACEBOOK fait partie des sanctions les plus lourdes infligées en application du RGPD. Elle représente toutefois une part infime des 117 milliards de chiffre d’affaires de la société. Peu de chance donc que FACEBOOK se remette en question. Les faits reprochés à FACEBOOK sont d’ailleurs postérieurs à l’affaire Cambridge Analytica, où la société avait accepté de payer 5 milliards de dollars^[4] pour mettre un terme à la procédure à son encontre, preuve que même une amende de quelques milliards ne fera pas changer les pratiques de la société.