chronique

Un réseau social mis à l'amende pour sa fonction "invite tes contacts"

Un réseau social a reçu une amende de 50.000 euros pour avoir collecté et utilisé des données à caractère personnel par le biais d’une fonction "invite tes contacts" en violation du règlement général sur la protection des données.

L’Autorité belge de protection des données a rendu, le 14 mai dernier, une décision à l’encontre d’un réseau social établi en Belgique et actif dans plusieurs autres États membres de l’Union européenne. Par cette décision, l’Autorité belge a sanctionné le réseau social pour avoir collecté et utilisé des données à caractère personnel par le biais d’une fonction "invite tes contacts" en violation du RGPD (ndrl: règlement général sur la protection des données de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel). Cette fonction avait été mise en place par le réseau social sans que les traitements de données correspondants ne soient fondés sur aucune base légale. L’amende infligée se chiffre à 50.000 euros. Cette sanction a été prise en concertation avec 23 autorités de protection des données de différents États européens.

Etienne Wery et Camille Bourguignon

 

Cabinet Ulys

Pour l’Autorité belge de protection des données, une telle décision doit constituer un exemple pour les autres sites et applications de réseaux sociaux qui mettraient en place des fonctions similaires: aucune donnée à caractère personnel ne peut être traitée sans base légale valide.

Sans base légale

La fonction "invite tes contacts", dans le collimateur de l’Autorité de protection des données, permettait aux membres du réseau social d’inviter des contacts sur la plateforme, qu’ils soient eux-mêmes déjà membres ou non. Le réseau social collectait et stockait des données relatives auxdits contacts. Il leur envoyait ensuite des invitations.

Or, il ne peut, en aucun cas, être procédé à un traitement de données à caractère personnel sans que ledit traitement ne soit fondé sur l’une des six bases légales prévues par le RGPD. S’il ne repose sur aucune des bases légales énumérées, ledit traitement est tout simplement illicite. Parmi les bases légales identifiées dans le RGPD, on retrouve le consentement de la personne concernée par le traitement.

La fonction "invite tes contacts" permettait au réseau social, de stocker les informations des contacts des membres du réseau et de leur envoyer une invitation. Lesdits traitements reposaient sur le consentement de l’utilisateur-membre du réseau qui "invitait" ses propres contacts à rejoindre la plateforme. En revanche, lesdits contacts, dont les données avaient été ainsi importées, ne consentaient pas à un tel traitement de leurs données. Or un consentement, pour être valide, doit être donné par la personne concernée par le traitement.

"Une pratique de pré cochage est contraire aux conditions du recueil du consentement. En d’autres termes, la personne doit elle-même cocher les cases souhaitées".
Etienne Wery et Camille Bourguignon
Cabinet Ulys

Le réseau social, par le biais de sa fonction "invite tes contacts", s’est, de plus, rendu coupable d’une autre infraction. Lors de la mise en place de cette fonction, l’utilisateur-membre était confronté à des options pré cochées, ses contacts étaient en effet présélectionnés. Le réseau a certes modifié depuis cette pratique en supprimant le pré cochage. Pour autant, l’Autorité de protection des données a profité de sa décision pour confirmer qu’une pratique de pré cochage est contraire aux conditions du recueil du consentement. On rappellera effectivement qu’il n’y a de consentement valable que si ledit consentement est libre et qu’il constitue un acte positif et non équivoque. En d’autres termes, la personne donnant son consentement doit elle-même cocher les cases souhaitées.

Pour l’ensemble de ces raisons, l’Autorité belge de protection des données a décidé de sanctionner le réseau social et de le condamner à une amende administrative de 50.000 euros. Entretemps, en outre, la fonction d’invitation des contacts a été supprimée par le réseau social.

Un exemple de concertation supranationale

Le réseau social et sa fonction problématique "invite tes contacts" ont été actifs au-delà de la seule Belgique sur les territoires de plusieurs autres États membres de l’Union. Dans ces conditions, la décision de sanction a été adoptée par l’Autorité belge en concertation avec 23 autres autorités de contrôle européennes, l’Autorité belge s’étant positionnée en autorité "chef de file". Ce processus de collaboration supranational a permis l’adoption d’une décision tenant compte des commentaires de chaque pays concerné. Il a ainsi contribué à un meilleur respect des règles en matière de protection des données dans l’ensemble de l’Union européenne.

Lire également

Messages sponsorisés