Protection des données : Meta condamné à une amende de 1,2 milliard d’euros par le régulateur irlandais

Meta s’est vu infliger une amende record de 1,2 milliard d’euros et a reçu l’ordre de cesser le transfert de données personnelles de l’UE vers les États-Unis dans une décision historique du régulateur irlandais, qui a jugé ces transferts illégaux.

Le commissaire irlandais à la protection des données (Irish Data Protection Commissioner, DPC), principale autorité européenne compétente pour Meta, a infligé ce lundi (22 mai) une amende record en vertu du règlement général sur la protection des données (RGPD), concluant ainsi une longue enquête qui a débuté en août 2020.

L’entreprise technologique aura jusqu’à six mois à compter de la réception de la décision pour cesser de transférer et de traiter les données des résidents de l’UE aux États-Unis, ce qui signifie que les données devront être soit supprimées, soit déplacées vers l’Europe.

La décision se fonde sur l’arrêt Schrems II de la Cour de justice de l’Union européenne (CJUE), qui a estimé que le régime juridique américain n’assurait pas une protection adéquate des données au regard des normes de l’UE en raison de l’accès disproportionné et incontestable des services de renseignement.

En décembre, la Commission européenne a adopté son projet de décision d’adéquation certifiant le cadre UE-États-Unis de protection des données à caractère personnel (EU-US Data Privacy Framework), qui devrait être adopté avant la fin de l’année afin de fournir un nouveau cadre juridique pour le transfert transatlantique de données.

La question est donc de savoir si Meta parviendra à retarder l’interruption des transferts de données jusqu’à ce que le nouveau cadre soit en place. Dans une déclaration réagissant à la décision, Meta a indiqué qu’il n’y aurait pas de perturbation immédiate pour Facebook en Europe, mais qu’il ferait appel des conclusions et demanderait un sursis aux tribunaux.

L’enquête sur Meta Ireland a été lancée en août 2020 et s’appuie sur des questions de longue date concernant la légalité des transferts de données entre les États-Unis et l’Union européenne.

Un projet de décision a été achevé en juillet de l’année dernière, concluant que les transferts de données de l’entreprise étaient en violation du RGPD de l’UE et exigeant leur suspension immédiate.

L’affaire a également conclu que les transferts de données fondés sur des clauses contractuelles types doivent inclure des garanties offrant aux personnes concernées des protections essentiellement équivalentes à celles garanties par le RGPD et la Charte des droits fondamentaux de l’UE.

Le projet de décision a ensuite été soumis au comité européen de la protection des données, qui regroupe toutes les autorités européennes chargées de la protection des données. Toutes les autorités ont approuvé la proposition du régulateur irlandais d’ordonner la suspension des transferts de données.

Cependant, quatre autorités ont soulevé des objections quant aux pouvoirs correctifs proposés par le DPC, arguant que Meta devrait être sanctionné avec une amende pour l’infraction. Deux de ces quatre autorités ont également demandé que des mesures soient prises pour traiter les données à caractère personnel qui ont déjà été transférées illégalement aux États-Unis depuis juillet 2020.

Le DPC s’est opposé à cet argument et la question a été renvoyée au mécanisme de résolution des litiges du comité, en vertu duquel une décision contraignante a été rendue le mois dernier.

En conséquence, une amende administrative de 1,2 milliard d’euros a été infligée au géant de la technologie, la plus importante jamais infligée pour une violation du RGPD, dépassant le précédent record établi à l’encontre d’Amazon qui s’élevait à 746 millions d’euros.

La décision finale a établi que Meta avait enfreint la législation de l’UE et que, même si ses transferts étaient effectués sur la base des clauses contractuelles types définies par la Commission, ils ne tenaient pas compte des menaces pesant sur les droits et libertés fondamentaux des personnes concernées, détaillées par la Cour de justice de l’UE dans son arrêt Schrems II.

L’autorité irlandaise a donc ordonné à Meta de cesser tout transfert futur de données à caractère personnel vers les États-Unis dans les cinq mois suivant la notification de la décision et de suspendre le traitement illégal, y compris le stockage, aux États-Unis de données à caractère personnel appartenant à des utilisateurs européens, en violation du RGPD, dans les six mois suivant la notification.

« En fin de compte, l’invalidation du bouclier de protection des données en 2020 a été causée par un conflit fondamental de droit entre les règles du gouvernement américain sur l’accès aux données et les droits à la vie privée des Européens. Il s’agit d’un conflit que ni Meta ni aucune autre entreprise ne peut résoudre seule », a expliqué Meta dans un communiqué.

« Nous sommes donc déçus d’avoir été mis à l’écart alors que nous utilisons le même mécanisme juridique que des milliers d’autres entreprises désireuses de fournir des services en Europe », a ajouté l’entreprise.

NOYB, un groupe de protection de la vie privée dirigé par l’activiste Max Schrems qui a initié le procès initial, a déclaré que, bien qu’un appel de Meta soit probable, les violations de l’entreprise rendent son succès improbable, soulignant l’importance du nouvel accord de transfert de données de l’UE.

« Meta prévoit de s’appuyer sur le nouvel accord pour les transferts à venir, mais il ne s’agit probablement pas d’une solution permanente », a affirmé M. Schrems dans une déclaration à la suite de la publication de la décision, ajoutant que le cadre de protection des données devrait également être invalidé par le tribunal.

Cette décision contre les transferts de données vers les États-Unis est loin d’être la première prise par une autorité européenne de protection des données. L’année dernière, l’Italie et la France ont rejoint l’Autriche en interdisant l’utilisation de Google Analytics à la lumière de l’arrêt Schrems II.

En avril 2023, le régulateur autrichien a également estimé que l’utilisation du pixel de suivi de Facebook était contraire à la fois à la jurisprudence et au RGPD.

[Édité par Anne-Sophie Gayet]