L’Autorité belge de protection des données a rendu, le 14 mai dernier, une décision à l’encontre d’un réseau social établi en Belgique et actif dans plusieurs autres États membres de l’Union européenne. Par cette décision, l’Autorité belge a sanctionné le réseau social pour avoir collecté et utilisé des données à caractère personnel par le biais d’une fonction "invite tes contacts" en violation du RGPD (ndrl: règlement général sur la protection des données de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel). Cette fonction avait été mise en place par le réseau social sans que les traitements de données correspondants ne soient fondés sur aucune base légale. L’amende infligée se chiffre à 50.000 euros. Cette sanction a été prise en concertation avec 23 autorités de protection des données de différents États européens.

Sans base légale

La fonction "invite tes contacts", dans le collimateur de l’Autorité de protection des données, permettait aux membres du réseau social d’inviter des contacts sur la plateforme, qu’ils soient eux-mêmes déjà membres ou non. Le réseau social collectait et stockait des données relatives auxdits contacts. Il leur envoyait ensuite des invitations.

Or, il ne peut, en aucun cas, être procédé à un traitement de données à caractère personnel sans que ledit traitement ne soit fondé sur l’une des six bases légales prévues par le RGPD . S’il ne repose sur aucune des bases légales énumérées, ledit traitement est tout simplement illicite. Parmi les bases légales identifiées dans le RGPD, on retrouve le consentement de la personne concernée par le traitement.

La fonction "invite tes contacts" permettait au réseau social, de stocker les informations des contacts des membres du réseau et de leur envoyer une invitation. Lesdits traitements reposaient sur le consentement de l’utilisateur-membre du réseau qui "invitait" ses propres contacts à rejoindre la plateforme. En revanche, lesdits contacts, dont les données avaient été ainsi importées, ne consentaient pas à un tel traitement de leurs données. Or un consentement, pour être valide, doit être donné par la personne concernée par le traitement.

Le réseau social, par le biais de sa fonction "invite tes contacts", s’est, de plus, rendu coupable d’une autre infraction. Lors de la mise en place de cette fonction, l’utilisateur-membre était confronté à des options pré cochées, ses contacts étaient en effet présélectionnés. Le réseau a certes modifié depuis cette pratique en supprimant le pré cochage. Pour autant, l’Autorité de protection des données a profité de sa décision pour confirmer qu’une pratique de pré cochage est contraire aux conditions du recueil du consentement. On rappellera effectivement qu’il n’y a de consentement valable que si ledit consentement est libre et qu’il constitue un acte positif et non équivoque. En d’autres termes, la personne donnant son consentement doit elle-même cocher les cases souhaitées.