À la suite des décisions contraignantes du Comité européen de la protection des données (EDPB) adoptées lors de la réunion de l’EDPB du 5 décembre 2022 , l’Autorité irlandaise de protection des données a désormais pris des décisions finales dans les deux affaires intentées par l’Autorité contre Meta Platforms Ireland Limited. L’une concerne Facebook, où l’autorité de contrôle a infligé une amende de 210 millions d’euros, et l’autre, Instagram, où l’autorité de contrôle a infligé une amende de 180 millions d’euros. L’amende totale infligée à Meta s’élève donc à 390 millions d’euros – ce qui correspond à env. 2,9 milliards de couronnes danoises. En outre, l’autorité de contrôle irlandaise a ordonné à Meta de mettre ses activités de traitement en conformité avec le RGPD.
Dans ses décisions, l’autorité irlandaise de protection des données déclare, entre autres, que l’exécution d’un contrat n’est pas une base légale appropriée (base juridique du traitement) lorsque la finalité du traitement est le marketing comportemental.
L’EDPB a pris une décision contraignante suite aux objections des autorités de contrôle
Selon le RGPD, l’EDPB peut adopter des décisions dites contraignantes si une ou plusieurs autorités de contrôle formulent une objection pertinente à la proposition de décision de l’autorité de contrôle principale (en l’occurrence l’Irlande) dans les affaires transfrontalières, c’est-à-dire des cas comme celui-ci qui touchent des citoyens de plusieurs pays européens. Les objections à la décision proposée par l’autorité de contrôle irlandaise concernaient, entre autres, l’autorité chargée du traitement des données personnelles et le montant de l’amende.
Afin de parvenir à un accord sur une décision contraignante au sein de l’EDPB, l’autorité irlandaise de protection des données a lancé la procédure dite de règlement des litiges. L’affaire a ensuite été soumise à l’EDPB, où, entre autres, l’autorité danoise de protection des données a contribué à façonner les décisions contraignantes.
L’autorité de surveillance irlandaise a également infligé une amende à Meta en septembre 2022 sur la base d’une affaire qui, entre autres, concernait la publication par Instagram des adresses e-mail et des numéros de téléphone de mineurs qui possédaient des comptes dits Instagram Business, ainsi qu’un paramètre « public par défaut » pour les profils Instagram personnels des mineurs.