Binding deci­sion 2/​2022 on the dispute arisen on the draft deci­sion of the Irish Supervisory Authority regar­ding Meta Platforms Ireland Limited (Instagram) under Art. 65(1)(a) RGPD

Meta Irlande permet depuis 2016 à tous les utili­sa­teurs d’Instagram (y compris les enfants) de passer d’un profil privé à un profil public pour passer à un compte profes­sion­nel ou « busi­ness account ». Ce faisant, des infor­ma­tions de contact supplé­men­taires, compo­sées d’une adresse élec­tro­nique et/​ou d’un numéro de télé­phone, sont mises à dispo­si­tion du public sur le compte. Cet affi­chage obli­ga­toire est arrêté en septembre 2019, date à partie de laquelle il devient facultatif.

L’Autorité irlan­daise de protec­tion des données (DPC) ouvre une procé­dure pour analy­ser la licéité des trai­te­ments, par ce biais, de données person­nelles d’enfant en rela­tion avec la divul­ga­tion publique d’adresses élec­tro­niques et/​ou de numé­ros de télé­phone d’en­fants utili­sant la fonc­tion­na­lité de compte profes­sion­nel Instagram et son para­mètre public par défaut pour les comptes Instagram person­nels d’enfants.

Les autres auto­ri­tés de contrôle concer­nées par la déci­sion émettent des objec­tions, raison pour laquelle le Comité euro­péen de la protec­tion des données (CEPD) doit régler le litige oppo­sant les diffé­rentes auto­ri­tés (au sujet de la procé­dure de l’art. 65 par. 1 let. a RGPD, voir https ://swissprivacy.law/95/). Dans sa déci­sion du 28 juillet 2022, le CEPD impose à la DPC de recon­naître, en sus des viola­tions déjà admises, une viola­tion de l’art. 6 par. 1 RGPD.

La néces­sité du trai­te­ment à l’exécution d’un contrat

Dans sa déci­sion, le CEPD analyse d’abord si l’exécution d’un contrat auquel la personne concer­née est partie (art. 6 par. 1 let. b RGPD) peut servir de motif pour l’af­fi­chage public des infor­ma­tions de contact d’enfants déte­nant un compte profes­sion­nel. L’exécution contrac­tuelle signi­fie que le trai­te­ment doit être néces­saire et faire partie inté­grante de la pres­ta­tion contrac­tuelle four­nie aux personnes concernées.

Dans le cas d’espèce, le compte profes­sion­nel est initia­le­ment conçu pour les acti­vi­tés tradi­tion­nelles (tradi­tio­nal busi­ness) avec un souhait de propo­ser des canaux de commu­ni­ca­tion autres qu’Instagram. Néanmoins, la créa­tion d’un tel compte est ouverte à l’ensemble des utili­sa­teurs de l’application, dont les enfants. L’application ne permet pas le même niveau d’information pour ce type de compte que pour ses services stan­dards. Les utili­sa­teurs enfants ne peuvent pas s’attendre à ce que la mise à dispo­si­tion de leurs détails de contact au public soit néces­saire à l’utilisation de l’application.

En outre, il existe des possi­bi­li­tés moins intru­sives qui ôtent à ce trai­te­ment de données son carac­tère néces­saire, comme la possi­bi­lité tech­nique de distin­guer entre l’utilisateur enfant et l’adulte. Cette mesure permet­trait de ne pas parta­ger les infor­ma­tions de contact de l’enfant, et ce sans impac­ter le fonc­tion­ne­ment avec affi­chage de telles infor­ma­tions pour les autres comptes profes­sion­nels tradi­tion­nels (expres­sion du prin­cipe de mini­mi­sa­tion selon l’art. 5 par. 1 let. c RGPD, admise par la DPC et prise en consi­dé­ra­tion par le CEPD dans son analyse de l’art. 6 par. 1 lest. b RGPD).

Par ailleurs, Meta Irlande admet savoir que certains utili­sa­teurs passent plus volon­tiers par le canal offert par l’application pour échan­ger avec leur communauté.

Finalement, prenant en compte égale­ment les risques pour la person­na­lité et les droits fonda­men­taux que cet affi­chage est suscep­tible d’engendrer pour les personnes concer­nées, le CEPD conclut que Meta Irlande ne peut pas s’appuyer sur ce fonde­ment pour affi­cher de facto les infor­ma­tions de contacts d’enfants ayant un compte professionnel.

La néces­sité du trai­te­ment pour des inté­rêts légi­times du respon­sable du trai­te­ment ou de tiers

Le CEPD examine égale­ment l’art. 6 par. 1 lit. f RGPD, qui permet au respon­sable du trai­te­ment de trai­ter des données person­nelles pour ses inté­rêts légi­times, sous réserve d’intérêts prépon­dé­rants de la personne concer­née. Les enfants méritent à cet égard une protec­tion spéci­fique dès lors qu’ils sont moins conscients des risques, des consé­quences, des garan­ties concer­nées et de leurs droits.

Meta Irlande dit pour­suivre son inté­rêt légi­time de « créer, four­nir, soute­nir et main­te­nir des produits et fonc­tion­na­li­tés inno­vants permet­tant aux enfants de s’exprimer, de commu­ni­quer, d’engager le dialogue avec les commu­nau­tés rele­vant de leurs inté­rêts et de créer leur propre commu­nauté ». L’entreprise estime aussi viser l’intérêt légi­time de l’ensemble des utili­sa­teurs d’Instagram en leur permet­tant d’échanger avec les titu­laires de comptes professionnels.

Émettant des doutes quant au carac­tère spéci­fique de ces inté­rêts, le CEPD cherche à savoir si le trai­te­ment est néces­saire à la pour­suite des inté­rêts invo­qués, ce qui implique dans un premier temps une analyse factuelle cher­chant à établir la connexion entre le trai­te­ment et lesdits inté­rêts. Dans la mesure où de nombreuses personnes préfèrent commu­ni­quer avec leur commu­nauté par Instagram, d’autres moyens que la mise à dispo­si­tion au public des infor­ma­tions de contact permettent de pour­suivre ces inté­rêts. Partant, le trai­te­ment n’est pas néces­saire pour atteindre les inté­rêts soule­vés par Meta Irlande.

Dans un second temps, le CEPD procède à la mise en balance des inté­rêts avan­cés par Meta Irlande et les risques du trai­te­ment à l’égard des personnes concer­nées. L’âge des utili­sa­teurs est pris en compte, de même manière que leurs attentes rela­ti­ve­ment à l’information reçue.

Avant septembre 2019, les utili­sa­teurs de comptes profes­sion­nels, enfants compris, ont comme seule infor­ma­tion que leur commu­nauté peut commu­ni­quer avec eux, sans qu’un lien soit fait avec les données de contact.

Après septembre 2019, ils savent que ce sont les données de contact qui permettent ces commu­ni­ca­tions et ils ont la possi­bi­lité d’opt-out. En revanche, Meta Irlande ne prévient à aucun moment des risques que l’affichage d’informations de contact est suscep­tible d’engendrer, notam­ment en termes de harcè­le­ment ou de groo­ming. Partant, le CEPD conclut que Meta Irlande ne peut pas non plus se préva­loir de ce fonde­ment et qu’elle viole l’art. 6 par. 1 RGPD en procé­dant à un trai­te­ment de données person­nelles illi­cite, ne repo­sant sur aucun fondement.

Compte tenu de la déci­sion rendue par le CEPD, la DPC recon­naît une viola­tion de l’art. 6 par. 1 RGPD en plus des viola­tions déjà admises des art. 5 par. 1 let. a et b, 12 par. 1, 24, 25 par. 1 et 2 et 35 par. 1 RGPD. Elle prononce une sanc­tion à l’égard de Meta Irlande d’un montant de EUR 405’000’000 accom­pa­gnée de mesures correctives.

Qu’en est-il du contrôle parental ?

L’autorité hambour­geoise de protec­tion des données, repré­sen­tant les auto­ri­tés des autres Länder, soulève une objec­tion concer­nant le contrôle paren­tal en deman­dant à la DPC d’investiguer sur une viola­tion de l’art. 6 par. 1 let. a RGPD et, partant, de l’art. 8 RGPD.

Le RGPD prévoit que lorsqu’un trai­te­ment de données person­nelles d’un enfant de moins de 16 ans repose sur son consen­te­ment en vertu de l’art. 6 par. 1 let. a RGPD, le trai­te­ment n’est licite qu’à condi­tion que le consen­te­ment ait été donné ou auto­risé par le titu­laire de la respon­sa­bi­lité paren­tale (art. 8 par. 1 RGPD).

Cette exigence ne s’applique que lorsque le respon­sable du trai­te­ment justi­fie un trai­te­ment de données avec le consen­te­ment et ne s’applique pas aux autres justi­fi­ca­tions. L’on pour­rait se poser la ques­tion de la possi­bi­lité pour les enfants de conclure des contrats en ligne. Cette ques­tion échappe au RGPD et tombe dans les diffé­rents droits natio­naux, et le CEPD et la DPC concluant à un trai­te­ment illi­cite par Meta Irlande, cette ques­tion peut en l’espèce rester ouverte.