Une sanction record prononcée par La Commission irlandaise de protection des données (DPC)

Une sanction record prononcée par La Commission irlandaise de protection des données (DPC)
Article RGPD

La Commission irlandaise de protection des données, autorité de contrôle en la matière, parfois appelée « le maillon faible » du RGPD, ou même le « goulot d’étranglement » du RGPD vient de frapper fort.

En effet, ce 5 septembre, le régulateur irlandais a annoncé infliger à Instagram une amende record de 405 millions d’euros pour des manquements au traitement des données des mineurs… Il s’agirait donc d’une sanction record arrivant ainsi à la seconde place du podium derrière Amazon qui avait écopé d’une sanction de 746 millions d’euros en 2021.

Revenons deux ans en arrière :

  • En septembre 2020, deux enquêtes ont été lancées par le régulateur irlandais concernant la protection des données à caractère personnel des enfants. La première enquête visait à évaluer les fondements juridiques autorisant le traitement de données d’enfants mis en place par Facebook sur Instagram, ainsi que le respect de ses obligations de transparence envers ce public. La seconde enquête visait plus particulièrement l’adaptation des paramétrages de comptes et profils Instagram à ce public « enfant ».
  • Faisant suite à ces enquêtes et en suivant les règles de coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées (article 60 du RGPD), l’autorité irlandaise a soumis en 2021 aux autres autorités de contrôle concernées un projet de décision pour Instagram.

Il aura fallu attendre août 2022 et une décision contraignante du Comité européen* en application de l’article 65 du RGPD pour que les autorités de contrôle parviennent à une décision commune sur le sujet et qu’une sanction soit annoncée.

Mais quels sont les faits ?

Selon différentes sources, et dans l’attente d’une publication officielle de la part du régulateur irlandais, on peut lister les reproches suivants :

  • L’autorité de contrôle s’inquiétait de la protection des enfants sur Instagram et notamment sur un défaut de transparence adaptée ;
  • Un autre reproche était le fait que les utilisateurs de moins de 18 ans pouvaient très facilement basculer vers des comptes professionnels, rendant ainsi d’office leurs coordonnées publiques;
  • Entre autres, un défaut de vérification de l’âge réel des utilisateurs peut être mis en avant : en effet, des comptes « mineurs » pouvaient être ouverts par n’importe qui

Les faits qui auraient donc amenés cette sanction record restent actuellement imprécis. Une communication officielle devrait être faite prochainement sur le site du Comité européen de la protection des données ainsi que sur le site de la Commission irlandaise en matière de protection des données.

En attendant ce moment pour former un avis plus éclairé, nous vous proposons quelques rappels sur la protection des données à caractère personnel d’enfants :

Que prévoit le RGPD en matière de protection des données des enfants ?

Le RGPD prévoit un régime juridique spécifique à la protection des enfants dans le cadre de service de la société de l’information, i.e. un service (gratuit ou payant) fourni à distance, par voie électronique et sur demande individuelle. Les réseaux sociaux comme Facebook, Instagram, LinkedIn, etc. entrent bien dans cette définition, et, dès lors que leurs services sont proposés directement à un enfant, ils doivent se conformer au régime prévu par le RGPD.

  • Un consentement obligatoire qui variera selon l’âge de l’enfant :

Chaque Etat membre est libre de déterminer à partir de quel âge un « enfant » pourra consentir à une offre de service de la société de l’information. Cet âge peut être fixé entre 13 et 16 ans. Selon le RGPD, cela veut donc dire qu’en dessous de 13 ans, l’enfant ne peut pas consentir tout seul (le titulaire de l’autorité parentale devra également co

nsentir), et que au contraire, à partir de 16 ans révolus, il est libre de ses choix.

La France a pris le parti de fixer le consentement du mineur à partir de 15 ans. Cela signifie donc qu’un réseau social qui serait 100% français et qui proposerait ses services notamment à un public enfant devrait être en capacité de vérifier l’âge de ses utilisateurs pour respecter le régime du consentement de l’enfant. La CNIL encourage d’ailleurs le développement de solutions plus respectueuses de la vie privée qui permettraient de vérifier l’âge des utilisateurs.

  • Une information adaptée

En plus d’une vérification de l’âge, il faudra penser à l’information des utilisateurs. Un enfant n’aura pas le même niveau de compréhension qu’un adulte. De même qu’il n’aura pas toujours autant de facilités à utiliser une plateforme. Des adaptations peuvent donc être envisagées.

Sur ce point, nous vous recommandons de jeter un œil aux études de cas de la page Données et design du LINC (Labo de la CNIL).

On vous avait d’ailleurs déjà parlé de ce sujet en vidéo ici.

  • Réaliser une étude d’impact

Sur ce, on vous dit à bientôt pour un prochain article !

Et n’oubliez pas, on est là pour répondre à toutes vos questions ! 😊

Notes de l’auteur

*Au moment de la rédaction de cet article, le contenu de la décision contraignante de l’EDBP reste inconnu mais son existence peut être retracée sur le site du Comite : https://edpb.europa.eu/news/news/2022/july-plenaries-adopted-documents_fr

Partager l'article

Articles similaires

[Episode 3] Sécurité | Le VPN
Article RGPD Minute RGPD

[Episode 3] Sécurité | Le VPN

Le VPN ou Virtual Private Network. Pourquoi cette outil est nécessaire pour votre navigation et la sécurité de vos données ?
Lire la suite
Evolution de la fonction du Délégué à la protection des données en 2024
Article RGPD Minute RGPD

Evolution de la fonction du Délégué à la protection des données en 2024

La CNIL publie une enquête sur l'évolution de la fonction du délégu
Lire la suite