La Commission irlandaise de protection des données (DPC) a annoncé une amende de 1,3 milliard de dollars sur Facebook après avoir affirmé que l’entreprise avait violé l’article 46, paragraphe 1, du RGPD (Règlement général sur la protection des données).
Plus précisément, il a été constaté que Facebook transférait les données des utilisateurs de la plateforme basés dans l’UE vers les États-Unis, où les réglementations en matière de protection des données varient d’un État à l’autre et ont été jugées insuffisantes pour protéger les droits des personnes concernées de l’UE.
L’article 46, paragraphe 1, du RGPD interdit les transferts de données personnelles vers des pays ou des organisations internationales qui ne disposent pas de garanties garantissant la sécurité et des mécanismes de recours légaux.
À la suite de l’infraction, le DPC a infligé une amende record de 1,2 milliard d’euros (1,3 milliard de dollars) à la société mère de Facebook, Meta Ireland, et a demandé que tous les transferts de données qui violent le RGPD soient suspendus dans les cinq mois suivant la décision.
De plus, Meta sera tenu d’arrêter de traiter ou de conserver toutes les données transférées illégalement de l’UE vers les États-Unis dans les six mois suivant l’annonce de DPA.
La chronologie
Facebook transférait auparavant des données entre les pays européens et les États-Unis dans le cadre du bouclier de protection des données UE-États-Unis de 2016 du RGPD, qui autorisait le stockage des données de l’UE avec des entreprises américaines figurant sur la liste du bouclier de protection des données.
Les modifications apportées aux transferts internationaux de données dans le cadre du RGPD ont été modifiées dans l’affaire « Schrems II » de juillet 2020, dans laquelle la CJUE a jugé que tout transfert de données personnelles dans le cadre de la décision relative au bouclier de protection des données était illégal et qu’une réglementation plus stricte en matière de contrôle des données devait être introduite.
En août 2020, le DPC irlandais a ouvert une enquête sur les activités de transfert de données de Meta. En juillet 2022, il a publié un projet de décision soulignant que le géant de la technologie enfreignait l’article 46, paragraphe 1, du RGPD.
Le 13 avril 2023, le comité européen de la protection des données (EDPB) a adopté une décision contraignante, ordonnant à la DPA d’infliger une amende à Meta et de lui ordonner de se conformer au RGPD.
Aujourd’hui, le DPC irlandais impose l’amende administrative de 1,3 milliard de dollars reflétant la décision de l’EDPB, punissant Meta d’une sanction déterminée selon les lignes directrices de l’EDPB (20 % à 100 % du maximum applicable), compte tenu de la gravité de l’infraction.
La réponse de Meta
Meta a répondu à la décision via un article de blog, affirmant que les transferts de données transfrontaliers transparents sont d’une importance cruciale pour la continuité des activités, et constate que les amendes administratives et les ordonnances de restriction auront un impact important sur ses services en Europe.
La société affirme que tous les transferts de données transatlantiques sont contrôlés par des clauses contractuelles types (SCC) utilisées par toutes les organisations, que la CJUE a précédemment acceptées comme une alternative valable pour vérifier les « garanties juridiques ».
« Comme des milliers d’autres entreprises, Meta a utilisé des SCC en les croyant conformes au Règlement général sur la protection des données (RGPD) », commente le géant de la technologie.
La société trouve l’amende injuste, inutile et disproportionnée, et prévoit de faire appel de la décision et de contester la sévérité de l’amende et des ordonnances sous-jacentes.
« Il ne s’agit pas des pratiques de confidentialité d’une entreprise – il existe un conflit de droit fondamental entre les règles du gouvernement américain sur l’accès aux données et les droits européens à la confidentialité, que les décideurs politiques devraient résoudre cet été », a expliqué Meta.
Meta critique la décision de l’EDPB d’ignorer la reconnaissance par DPC que l’entreprise avait précédemment agi de bonne foi et souligne également le mauvais timing de ces procédures, considérant que le prochain Data Privacy Framework (DPF) sera bientôt mis en œuvre, résolvant les conflits juridiques actuels.