Articles

Publicités comportementales : Meta sanctionnée par l’autorité irlandaise de protection des données à une amende de 390 millions d’euros.

/dans , /par

La Commission irlandaise de protection des données (« Data Protection Commission ») a infligé une amende de 390 millions d’euros à Meta Platforms Ireland Limited (« Meta ») pour des traitements de données personnelles réalisés sur Facebook et Instagram en violation du RGPD.

La décision, annoncée le 4 janvier 2023, est la conclusion d’enquêtes diligentées à la suite de deux plaintes déposées respectivement en Autriche et en Belgique.

S’ils souhaitent continuer à avoir accès à Facebook et Instagram, les utilisateurs de ces plateformes sont invités à cliquer sur « J’accepte » pour indiquer qu’ils acceptent les conditions de service et leurs mises à jour.

Meta a adopté la position selon laquelle le traitement des données des utilisateurs est nécessaire à l’exécution du contrat, ce qui inclut la fourniture de services personnalisés comprenant des publicités personnalisées ou comportementales.

Les plaignants ont soutenu qu’en subordonnant l’accessibilité de Facebook et Instagram à l’acceptation par les utilisateurs des conditions de service mises à jour, Meta les « forçait » à consentir au traitement de leurs données personnelles à des fins de publicité comportementale et d’autres services personnalisés.

Les projets de décision préparés par la Commission irlandaise ont été soumis aux autres autorités nationales de protection des données de l’UE. En l’absence de consensus, les points litigieux ont été jugés par le Comité européen de protection des données (CEPD).

Le CEPD a estimé que Meta n’était pas en droit d’invoquer « l’exécution du contrat » comme base juridique des traitements réalisés à des fins de publicité comportementale.

Le CEPD a en outre confirmé la position de la Commission irlandaise relative à la violation par Meta de son obligation de transparence. Les informations sur les finalités et bases juridiques des traitements réalisés sur Facebook et Instagram n’ont pas été clairement exposées aux utilisateurs.

Meta, qui doit se mettre en conformité dans un délai de 3 mois, a annoncé son intention de faire appel.

Une décision similaire concernant WhatsApp est attendue prochainement.

Invalidation du Privacy Shield : la réponse de la Chambre de commerce américaine

/dans , /par

La Chambre de commerce américaine a publié fin septembre un livre blanc sur les transferts de données personnelles entre l’UE et les Etats-Unis postérieurs à l’arrêt Schrems II invalidant le Privacy Shield.

Ce livre blanc a pour objectif de fournir aux entreprises européennes des informations sur la protection des données personnelles par le droit américain pour leur permettre de mener à bien l’analyse au cas par cas de la validité des transferts de données vers les Etats-Unis, telle que demandée par la Cour de justice dans son arrêt.

Ainsi, la Chambre de commerce américaine rappelle que :

  • la plupart des entreprises américaines ne sont pas concernées par les demandes de communication de données en provenance des agences de renseignement gouvernementales qui n’ont aucun intérêt pour les données commerciales ordinaires comme les données relatives aux employés, aux clients, ou aux ventes ;
  • Schrems II ne conclut pas que la protection de la vie privée par la loi américaine n’est pas conforme au RGPD mais que les informations connues par la Commission européenne en 2016 sur ce pan de la législation américaine n’étaient pas suffisantes pour valider le Privacy Shield.

En conséquence, la Chambre de commerce recommande aux entreprises européennes ayant recours aux clauses contractuelles types de prendre en compte toutes les informations disponibles à ce jour sur la législation américaine protégeant les données à caractère personnel. A ce titre, elle détaille les informations qu’elle juge pertinente sur le sujet concernant les deux lois américaines citées par la Cour de justice dans son arrêt : le Foreign Intelligence Surveillance Act « FISA » 702 et l’Executive Order 12333.

En conclusion, la Chambre de commerce précise qu’il existe de nombreuses autres lois qui permettent d’assurer un accès aux données proportionné, sous contrôle et garantissant des recours possibles en cas de violation des droits des personnes.

Ce livre blanc étant issu de la Chambre de commerce américaine, sa position est nécessairement orientée mais il permet néanmoins aux entreprises européennes traitant des données personnelles faisant l’objet de transferts vers les Etats-Unis d’avoir des débuts de réponse, dans l’attente d’une position définitive des autorités de contrôle et du CEPD.

RGPD : Sanction de 35 millions d’euros à l’encontre de H&M

/dans , /par

Le 1er octobre dernier, l’autorité de contrôle d’Hambourg a rendu publique une sanction financière prononcée à l’encontre d’une filiale allemande du groupe H&M d’un montant historique de plus de 35 millions d’euros pour une violation grave du RGPD.

En effet, depuis 2014, cette filiale du groupe collectait des données extrêmement détaillées sur la vie privée de ses employés, notamment sur les raisons de leurs absences qu’elles concernent des problématiques familiales, leurs croyances religieuses ou un arrêt maladie.  Une partie de ces données était ensuite stockée sous un format numérique, accessible à plus de 50 managers et utilisée pour prendre des décisions concernant leur évolution ou leurs conditions de travail au sein de l’entreprise.

L’autorité de contrôle a découvert ces agissements en octobre 2019 à la suite d’une erreur de configuration qui a rendu les données litigieuses accessibles à l’ensemble de l’entreprise.

H&M s’est empressée de prendre diverses mesures correctrices pour remédier à la situation et a présenté ses excuses aux employés concernés avant de leur proposer une compensation financière. L’autorité de contrôle a encouragé cette attitude mais a néanmoins décrété que le montant de l’amende était adapté à la gravité du manquement constaté et avait également pour but de dissuader les entreprises de porter atteinte à la vie privée de leurs employés.

Pour prendre connaissance de la décision, cliquez ici.