L’Autorité de protection des données impose 50.000 euros d’amende à un réseau social

L’APD vient d’imposer une amende de 50.000 euros à un réseau social à portée internationale. Cette sanction a été prise en concertation avec 23 autorités de protection des données de différents pays européens. L’amende vise la récolte et l’utilisation de données personnelles dans le cadre d’une fonction « inviter des contacts » sans base légale valable. Pour l’APD cette décision est un signal aux autres sites et applications de réseau sociaux qui recourraient à des procédés similaires : les organisations ne peuvent pas traiter les données personnelles sans une base légale valide.

Les faits : la fonction « invite tes contacts » au réseau social

Le comité de direction de l’APD a saisi le Service d’Inspection pour se pencher sur une fonction offerte par un réseau social permettant à ses membres d’inviter des contacts (qu’ils soient eux-mêmes déjà membres ou non) sur la plateforme. Pour ce faire, le réseau social, d’une part, récoltait et stockait des données relatives aux contacts, et d’autre part, envoyait des invitations aux personnes ajoutées par l’utilisateur.

Traitement de données personnelles sans base légale valable et non-respect des conditions du consentement

Un traitement de données à caractère personnel, pour être licite, doit reposer sur l’une des six bases légales prévues par le RGPD, l’une de celles-ci est le consentement.

Afin de stocker les informations des contacts, ainsi que leur envoyer une invitation, le réseau social reposait sur le consentement de l’utilisateur-membre qui lui permettait d’importer ces données, or un consentement doit être donné par la personne concernée (sauf exceptions, comme par exemple dans le cas d’un mineur d’âge). Le réseau, en stockant les données de non-membres du réseau et en leur envoyant des invitations, traitait donc des données sans base légale valable.

De plus, au début du dossier, l’utilisateur-membre était confronté à des options précochées lors du processus d’ajout de contacts, dans le sens où ses contacts étaient présélectionnés. Cette pratique, même si elle a été modifiée par la suite par le défendeur, était contraire aux conditions du consentement au sens du RGPD, celui-ci doit notamment être libre, et constituer un acte positif et univoque : la personne doit donc elle-même cocher les cases souhaitées. Durant la période pendant laquelle les destinataires étaient présélectionnés, le consentement de l’utilisateur-membre du réseau qui souhaitait inviter ses contacts n’était donc pas non plus valable.

L’APD a décidé, pour ces raisons, d’imposer au réseau social une amende administrative de 50.000 euros. Entretemps, la fonction d’invitation des contacts a été supprimée par le réseau social.

Une décision à caractère international

Vu le caractère transfrontalier des traitements sur le site web et l’application du défendeur, et en vertu de l’article 56 du RGPD, l’APD a contacté ses homologues européens et s’est proposée comme autorité chef de file sur le dossier. 23 autorités de contrôle européennes (de 16 pays différents) se sont déclarées concernées.

Ce processus de collaboration a permis d’émettre une décision prenant en compte les commentaires de chaque pays concerné, et qui participe à un meilleur respect des règles en matière de protection des données non seulement en Belgique, mais aussi à l’international.