Les régulateurs européens et irlandais ont condamné le propriétaire de Facebook, Meta, à payer une amende de 1,2 milliard d’euros pour avoir enfreint le règlement général sur la protection des données (RGPD) avec des transferts de données personnelles vers les États-Unis. C’est la plus grosse amende RGPD jamais enregistrée.
Meta a également reçu l’ordre de cesser de stocker les données des utilisateurs de l’Union européenne aux États-Unis dans un délai de six mois, mais il se peut qu’il n’ait finalement pas à franchir cette étape si l’UE et les États-Unis conviennent d’un nouveau cadre réglementaire pour les transferts internationaux de données.
L’infraction commise par la filiale de Meta en Irlande « est très grave car elle concerne des transferts systématiques, répétitifs et continus », a déclaré le président du Comité européen de la protection des données (EDPB), Andrea Jelinek, dans un communiqué publié aujourd’hui. « Facebook compte des millions d’utilisateurs en Europe, de sorte que le volume de données personnelles transférées est énorme. L’amende sans précédent est un signal fort aux organisations que les infractions graves ont des conséquences considérables. »
La Commission irlandaise de protection des données (DPC) a décidé de ne pas infliger d’amende à Meta en juillet 2022, mais la décision a fait l’objet d’un règlement contraignant des différends après que certains régulateurs d’autres pays européens se sont opposés. L’EDPB a ensuite annulé le DPC irlandais et lui a demandé de modifier le projet pour imposer une amende.
L’EDPB a également déclaré qu’il avait chargé les régulateurs irlandais d’ordonner à Meta « de mettre les opérations de traitement en conformité avec le chapitre V du RGPD, en cessant le traitement illégal, y compris le stockage, aux États-Unis des données personnelles des utilisateurs européens transférées en violation du RGPD, dans un délai de six mois après la notification » de la décision définitive.
Meta et un groupe commercial de l’industrie technologique ont critiqué la décision. La Computer & Communications Industry Association (CCIA), qui représente Meta et d’autres entreprises technologiques, a déclaré que l’ordre de suspendre les transferts de données « rend effectivement le fonctionnement d’Internet illégal, de la vidéoconférence et de la navigation sur Internet au traitement des paiements en ligne. «
Alors que le projet de décision du DPC irlandais en juillet 2022 n’incluait pas d’amende, il a déclaré que les transferts de données de Facebook devraient être suspendus. Le DPC était d’avis que « l’exercice de pouvoirs correctifs supplémentaires, au-delà de l’ordonnance de suspension proposée, dépasserait l’étendue des pouvoirs qui pourraient être décrits comme étant » appropriés, proportionnés et nécessaires « pour remédier à la violation de l’article 46, paragraphe 1, du RGPD ». a déclaré le régulateur irlandais.
« Plus haut degré de négligence »
Il a été constaté que Meta violait l’article 46(1) du RGPD, qui stipule que les entreprises ne peuvent transférer des données personnelles vers un autre pays que s’il existe « des garanties appropriées, et à condition que des droits exécutoires des personnes concernées et des recours juridiques efficaces pour les personnes concernées soient disponibles ». «
La décision contraignante du CEPD a déclaré que Meta « a commis l’infraction à l’article 46, paragraphe 1, avec au moins le plus haut degré de négligence » et que l’infraction affecte « un large éventail de catégories de données à caractère personnel ». La conception de Facebook par Meta « l’empêche de fournir ce service » en Europe sans les transferts internationaux de données qui ont été jugés contraires au RGPD, « ce qui suggère qu’une partie considérable de ses bénéfices provenant de la fourniture du service dans l’UE provient de la violation du RGPD », a déclaré l’EDPB.
Une amende est nécessaire en raison « de la gravité de l’infraction, compte tenu de l’étendue particulièrement étendue du traitement et du nombre très élevé de personnes concernées, ainsi que de la longue durée de l’infraction, qui est toujours en cours », dit la décision du CEPD. Le DPC irlandais a rendu une décision finale qui intègre les modifications requises.
Dans un article de blog, les dirigeants de Meta ont déclaré que la société « fait appel de ces décisions et demandera immédiatement un sursis auprès des tribunaux qui peuvent suspendre les délais de mise en œuvre, compte tenu du préjudice que ces ordonnances causeraient, y compris aux millions de personnes qui utilisent Facebook chaque jour. »
Meta espère que le pacte UE/États-Unis arrivera bientôt
Meta a également déclaré qu' »il existe un conflit de droit fondamental entre les règles du gouvernement américain sur l’accès aux données et les droits européens à la vie privée ».
Les responsables européens et américains ont négocié un accord sur les transferts de données. Meta a déclaré que si le cadre de confidentialité des données UE-États-Unis en attente « entre en vigueur avant l’expiration des délais de mise en œuvre, nos services peuvent continuer comme ils le font aujourd’hui sans aucune interruption ni impact sur les utilisateurs ».
« Cette décision est imparfaite, injustifiée et crée un dangereux précédent pour les innombrables autres entreprises transférant des données entre l’UE et les États-Unis », a écrit Meta.