Transfert de données personnelles : Meta écope d’une amende d’1,2 milliard d’euros en Irlande

Le montant de l’amende est inédit. La maison mère de Facebook, Meta, devra verser 1,2 milliard d’euros aux autorités irlandaises. La Data Protection Commission lui reproche d’avoir poursuivi le transfert de données personnelles d’utilisateurs européens vers des data centers situés sur le sol américain sur la base de certaines clauses contractuelles types (CCT) depuis le 16 juillet 2020. L’entreprise de Mark Zuckerberg doit donc restituer toutes les données personnelles des internautes européens à ses centres européens, et en cesser le transfert vers les États-Unis à compter du 12 octobre. Du jamais vu au sein de l’Union européenne depuis l’entrée en vigueur du Règlement européen sur la protection des données personnelles (RDGP) en 2018.

Cadre juridique euro-états-uniens flou

Le transfert de données entre l’Union européenne et les États-Unis est une question épineuse. Deux accords entre les deux continents ont été retoqués par la Cour de justice de l’Union européenne : le “Privacy Shield” en 2020 et le “Safe Habor” en 2015. En décembre dernier, la Commission européenne a lancé un processus d’adoption d’une décision d’adéquation de l’Executive Order adopté par Joe Biden en octobre 2022 pour faciliter et sécuriser la circulation des données personnelles entre l’Union européenne et les États-Unis. Cette initiative faisait suite à la rencontre entre le président américain et Ursula von der Leyen en mars 2022 au cours de laquelle ils s’étaient entendus sur un “accord de principe“ qui visait à garantir une circulation fiable des données personnelles entre l’Union européenne et les États-Unis. Le Comité européen à la protection des données avait rendu un avis mitigé en février 2023 sur le projet de décision d’adéquation.

Amende record

Cette décision de la Cnil irlandaise, surprenante au vu du montant de l’amende, intervient à l’issue d’une “bataille judiciaire” longue de dix ans selon Max Schrems, fondateur de NOYB, l’organisation de protection de la vie privée à l’origine de l’affaire et dont la devise est : “Ma vie privée est None of Your Business.” Le 17 janvier 2023, NOYB avait adressé un courrier au Comité européen à la protection des données (CEPD) pour dénoncer le décalage entre les gains tirés de l’infraction – près de 4 milliards d’euros selon Max Schrems – et le montant d’une amende de 390 millions d’euros infligée à Meta le 4 janvier dernier. Le 13 avril suivant, le CEPD rendait une décision contraignante à l’égard l’autorité irlandaise pour qu’elle modifie sa position, notamment à l’endroit de l’amende. Selon Andrea Jelinek, présidente de l'EDPB, “le CEPD a constaté que l'infraction de Meta IE [était] très grave car elle [concernait] des transferts systématiques, répétitifs et continus. Facebook compte des millions d'utilisateurs en Europe, le volume de données personnelles transférées est donc énorme.” Et de poursuivre : “L'amende sans précédent est un signal fort pour les organisations que les infractions graves ont des conséquences considérables.” Max Schrems se réjouit de l’issue de son combat judiciaire mais souligne : “C’est absurde que cette amende record aille à l’Irlande, l’État membre qui a tout fait pour que cette amende ne soit pas prononcée.”

Meta entend faire appel de la décision de la Commission irlandaise de protection des données. Nick Clegg, responsable des affaires publiques de Meta, nous apprend que la société américaine regrette avoir été “ciblée alors [qu’elle utilise] le même mécanisme légal que des milliers d’entreprises fournissant leurs services en Europe”. Mais selon Max Schrems,"il n'y a aucune chance réelle de la faire annuler” puisque “les violations passées ne peuvent pas être surmontées par un nouvel accord entre l'Union européenne et les États-Unis".

Anne-Laure Blouin

Lire aussi  Transferts de données personnelles vers les États-Unis : la Commission européenne propose une “décision d’adéquation“