L'autorité irlandaise de protection des données fait un cadeau de 3,97 milliards d'euros à Meta ? L'autorité aurait été incapable de tirer un avantage financier des violations du GDPR par Meta de Meta.
Le 04.01.2023, la Commission irlandaise de protection des données (DPC) a annoncé une amende de 390 millions d'euros contre Meta en raison de publicités personnalisées illégales sur Facebook et Instagram. Une première analyse des décisions révèle maintenant que la DPC a fermé les yeux sur les revenus générés par la violation du GDPR lors du calcul de son amende. Et ce, malgré un vote à la majorité des 2/3 de toutes les autorités de l'UE (l'EDPB) ayant enjoint le DPC irlandais de prendre en compte les milliards d'euros de revenus mal acquis de Meta. La manœuvre de la DPC a permis à Meta d'économiser près de 4 milliards d'euros.
- lettre de la noyb à l'EDPB soulignant le non-respect par la DPC de la décision de l'EDPB (PDF)
- Tableau avec les chiffres pertinents (PDF)
- Informations publiques de Facebook sur les utilisateurs et les revenus (voir "Diapositives sur les revenus")
Contexte : La violation du GDPR par Meta. Dans une bataille de 4 ans et demi sur l'absence de base légale pour fournir de la publicité personnalisée dans l'UE, noyb a remporté une victoire majeure. Le Conseil européen de la protection des données (EDPB) a annulé l'élément central d'un projet de décision antérieur du DPC irlandais et a estimé que Meta ne disposait pas d'une base juridique appropriée pour traiter les données personnelles à des fins de publicité comportementale. La tentative de Meta de glisser un "accord" dans les conditions générales de Facebook et Instagram a été jugée illégale. Tout traitement fondé sur ce "contournement" depuis le 25 mai 2018 était donc illégal. L'EDPB a indiqué au DPC qu'une amende supplémentaire devait "ccontrebalancer les gains tirés de l'infraction ""et a ordonné au CPD de " imposer une amende qui dépasse ce montant ".
Nouveau développement : Le DPC incapable d'estimer les revenus illicites de Meta ? Le 5 décembre 2022, le Conseil européen de la protection des données (CEPD) a ordonné au CPD de quantifier le montant des recettes que Meta avait générées en enfreignant le GDPR, et de prendre en compte cette somme dans le calcul de son amende. Cependant, le CPD a tout simplement ignoré les revenus illicites réalisés par Meta et a déclaré que"la Commission n'est pas en mesure d'établir une estimation des éléments" et qu'elle n'est donc "pas en mesure de prendre ces éléments en compte". Et ce, bien qu'elle ait le pouvoir d'exiger ces informations de Meta en vertu de l'article 58(1) du GDPR.
Max Schrems, président de noyb :" Nous sommes tous au courant des énormes revenus de Meta. Il est étonnant que cela n'ait pas été pris en compte par le CPD. Le CPD n'a même pas utilisé ses pouvoirs statutaires pour demander ces informations à Meta. Nous avons donc recherché les informations publiquement disponibles et constaté que ce seul facteur aurait dû augmenter l'amende de 3,97 milliards d'euros."
Contexte des amendes liées au GDPR. L'article 83 du GDPR fixe les règles relatives aux amendes. Chaque amende doit généralement être"efficace, proportionnée et dissuasive", doit tenir compte des"avantages financiers tirés ... de l'infraction", mais sont également plafonnées à 4% du chiffre d'affaires mondial de l'année écoulée. Dans le cas de Meta, cela équivaudrait à une amende maximale de 4,36 milliards d'euros. L'EDPB a donc demandé au DPC d'enquêter sur les "bénéfices financiers" que Meta a tirés de la violation de l'article 6, paragraphe 1, du GDPR pendant environ 4,5 ans, car une amende qui serait inférieure à ces bénéfices pourrait difficilement être"effective, proportionnée et dissuasive".
Max Schrems :"Le plafond maximal de 4 % du chiffre d'affaires mondial a été facilement dépassé par les recettes provenant du traitement illicite au cours des 4,5 dernières années. Ilest facile de montrer, à partir d'informations publiques, que le seul facteur des recettes aurait nécessité l'imposition de l'amende maximale."
Des informations publiques et une feuille de calcul. Meta, étant une société cotée en bourse, publie la plupart des données financières pertinentes. Selon les rapports de Meta elle-même, elle a tiré 84,7 milliards d'euros (91,59 milliards de dollars) de la publicité sur le continent européen entre le troisième trimestre 2018 et le troisième trimestre 2022. Ajusté pour le nombre d'utilisateurs dans l'UE uniquement, cela représentait environ 72,5 milliards d'euros (78,4 milliards de dollars américains). Bien que la "publicité comportementale" ne représente pas la totalité des revenus de la publicité globale de Meta, il est clair que dans tout scénario réaliste, les revenus de la "publicité comportementale" dans l'UE ont dépassé l'amende maximale de 4,36 milliards d'euros.
Max Schrems :"En ne vérifiant même pas les informations accessibles au public, le CPD a donné 3,97 milliards d'euros à Meta. Il nous a fallu une heure et un tableur pour faire le calcul. Je suis sûr que les contribuables irlandais ne seraient pas mécontents d'avoir cet argent supplémentaire, si un employé de DPC avait simplement ouvert un moteur de recherche et fait quelques recherches."
Meta gagne encore jusqu'à 68,17 milliards d'euros en violant le GDPR. Même si l'amende maximale de 4 % avait été imposée, Meta aurait quand même gagné jusqu'à 68 milliards d'euros grâce à la violation du GDPR depuis 2018, si l'on suppose que pratiquement chaque publicité sur Meta est actuellement une "publicité comportementale". Cela s'explique principalement par le fait que la procédure a été massivement retardée par le CPD et a duré 4,5 ans, alors que l'amende maximale ne peut être calculée que sur la base d'une seule année. La violation de Meta a également probablement dépassé les 4% pour chaque année, ce qui signifie que les recettes ont largement dépassé l'amende maximale par an.
Max Schrems :"En résumé, il a été absolument rentable pour Meta de violer le GDPR et le DPC irlandais a rendu encore plus rentable pour Meta de violer la législation européenne."
Lettre à l'EDPB. noyb a maintenant envoyé une lettre à l'EDPB détaillant le problème dans la décision du DPC et tous les calculs. noyb demande à l'EDPB de s'assurer que sa décision est entièrement confirmée par le DPC.