Les régulateurs européens et irlandais ont ordonné à Meta, propriétaire de Facebook, de payer une amende de 1,2 milliard d’euros pour avoir enfreint le règlement général sur la protection des données (RGPD) en transférant des données personnelles aux États-Unis. Il s’agit de l’amende la plus importante jamais infligée au titre du RGPD.
Meta a également reçu l’ordre de cesser de stocker les données des utilisateurs de l’Union européenne aux États-Unis dans un délai de 6 mois, mais elle pourrait finalement ne pas avoir à prendre cette mesure si l’UE et les États-Unis s’accordent sur un nouveau cadre réglementaire pour les transferts internationaux de données.
L’infraction commise par la filiale irlandaise de Meta « est très grave, car elle concerne des transferts systématiques, répétitifs et continus », a déclaré aujourd’hui Andrea Jelinek, présidente du Comité européen de la protection des données (CEPD), dans un communiqué. « Facebook compte des millions d’utilisateurs en Europe, et le volume de données personnelles transférées est donc considérable. Cette amende sans précédent est un signal fort envoyé aux organisations pour leur faire comprendre que les infractions graves ont des conséquences considérables ».
La Commission irlandaise de protection des données (DPC) a décidé de ne pas infliger d’amende à Meta en juillet 2022, mais la décision a fait l’objet d’un règlement des différends contraignant après que certains régulateurs d’autres pays européens s’y sont opposés. La CEPD a alors annulé la décision de la DPC irlandaise et lui a demandé de modifier le projet afin d’imposer une amende.
La CEPD a également indiqué qu’il avait demandé aux autorités irlandaises d’ordonner à Meta « de mettre ses opérations de traitement en conformité avec le chapitre V du RGPD, en cessant le traitement illégal, y compris le stockage, aux États-Unis, de données personnelles d’utilisateurs européens transférées en violation du RGPD, dans les six mois suivant la notification » de la décision finale.
Meta et un groupe commercial de l’industrie technologique ont critiqué la décision. La Computer & Communications Industry Association (CCIA), qui représente Meta et d’autres entreprises technologiques, a déclaré que l’ordonnance de suspension des transferts de données « rend effectivement illégal le fonctionnement d’Internet, depuis la vidéoconférence et la navigation sur Internet jusqu’au traitement des paiements en ligne ».
La décision contraignante de la CEPD indique que Meta « a commis la violation de l’article 46, paragraphe 1, avec au moins le plus haut degré de négligence » et que la violation affecte « un large éventail de catégories de données à caractère personnel ». La conception de Facebook par Meta « l’empêche de fournir ce service » en Europe sans les transferts internationaux de données qui ont été jugés contraires au RGPD, « ce qui suggère qu’une partie considérable de ses bénéfices tirés de la fourniture du service dans l’UE provient de la violation du RGPD », a déclaré la CEPD.
Meta espère que le pacte UE/États-Unis sera bientôt conclu
Une amende est nécessaire en raison de « la gravité de l’infraction, étant donné la portée particulièrement large du traitement et du nombre très élevé de personnes concernées, ainsi que de la longue durée de l’infraction, qui est toujours en cours », selon la décision de la CEPD. Le CPD irlandais a rendu une décision finale qui intègre les changements requis.
Dans un article de blog, les dirigeants de Meta ont déclaré que l’entreprise « fait appel de ces décisions et demandera immédiatement un sursis aux tribunaux qui peuvent suspendre les délais de mise en œuvre, étant donné le préjudice que ces ordonnances causeraient, y compris aux millions de personnes qui utilisent Facebook tous les jours ».
Meta a également déclaré « qu’il existe un conflit juridique fondamental entre les règles du gouvernement américain en matière d’accès aux données et les droits européens en matière de protection de la vie privée ».