Les plateformes sociales de Meta se retrouvent régulièrement dans le collimateur des défenseurs de la vie privée. WhatsApp est toujours sous le coup de multiples plaintes d’unions de consommateurs en Europe, qui accuse la messagerie de manquer de transparence en ce qui concerne son traitement des données personnelles de ses utilisateurs. Mais aujourd’hui, c’est davantage Instagram qui fait parler de lui.

En effet, le réseau social centré sur les photos et, depuis quelque temps, les vidéos, s’est attiré les foudres de la Commission irlandaise de protection des données (DPC). La raison est, sans surprise, en lien avec la manière dont Instagram gère les données personnelles de ses utilisateurs, et en particulier, des mineurs.

405 millions d’euros d’amende pour violation de la RGPD

L’enquête menée par l’équivalent irlandais de la Cnil avait démarré à la fin de l’année 2020. À l’époque, la DCP reprochait différents points à Instagram concernant la protection des mineurs et de leurs données sur sa plateforme : les comptes étaient ouverts par défaut, permettant à tout le monde d’y accéder et pas uniquement aux abonnés approuvés. Par ailleurs, il était très facile pour un mineur de basculer son compte vers un compte professionnel, nécessitant de rendre des données sensibles publiques, notamment leur adresse email et leur numéro de téléphone.

Instagram avait réagi en modifiant les paramètres associés aux comptes d’utilisateurs âgés de 13 à 17 ans, notamment en mettant les comptes des mineurs en restreint et en empêchant le passage à un compte professionnel. Mais ces démarches n’ont vraisemblablement pas été suffisantes pour la Commission irlandaise de protection des données. « Nous avons adopté notre décision finale vendredi dernier et elle contient une amende de 405 millions d’euros. Tous les détails de la décision seront publiés la semaine prochaine », a déclaré Graham Doyle, le commissaire adjoint de la DPC, au site TechCrunch.

Ce n’est pas la première fois que la DPC s’attaque à une plateforme de Meta : en septembre 2021, elle avait infligé une amende de 267 millions de dollars à WhatsApp pour violation du principe de transparence du RGPD. Il y a plusieurs années, Facebook avait aussi écopé d’une amende, mais bien plus réduite : 17 millions de dollars.

Meta pourrait faire appel

Du côté de Meta, cette amende spectaculaire est forcément mal reçue. L’entreprise américaine se défend : « Cette enquête s’est concentrée sur les anciens paramètres que nous avons mis à jour il y a plus d’un an, et nous avons depuis publié de nombreuses nouvelles fonctionnalités pour aider à assurer la sécurité des adolescents et la confidentialité de leurs informations », a expliqué un porte-parole de Meta au site Politico. « Nous avons pleinement collaboré avec le DPC tout au long de son enquête et nous examinons attentivement sa décision finale. »

Il est possible que Meta se décide à faire appel de cette décision si l’entreprise estime avoir réagi rapidement face aux demandes du régulateur. Il faut également souligner que la DPC mène actuellement au moins six autres enquêtes sur des entreprises qui appartiennent à Meta : si les amendes de plusieurs centaines de millions de dollars se succèdent, cela pourrait commencer à faire vraiment mal au géant américain.