La société Meta, maison mère de Facebook, a été condamnée le 22 mai à une amende record de 1,2 milliard d’euros par la Data Protection Commission (DPC), le régulateur irlandais de la vie privée. Une somme sans précédent à l’échelle de l’Union européenne, qui surpasse de loin celle que l’entreprise Amazon avait été condamnée à verser en juillet 2021, qui était à l’époque de 746 millions d’euros.
La DPC, équivalent irlandais de la Commission nationale de l’informatique et des libertés (CNIL) en France, reproche au réseau social d’avoir continué à transférer des données personnelles de ses clients européens vers les Etats-Unis. En 2020, la Cour de justice de l’union européenne avait estimé que la possibilité réservée aux services de sécurité américains de pouvoir accéder aux données des européens était incompatible avec le droit de l’Union européenne en matière de protection des données.
Une décision attendue de longue date
Cette décision de la DPC, attendue de longue date, reproche spécifiquement à Meta d’avoir, pour ce transfert, utilisé les « Clauses contractuelles types », un mécanisme juridique pour le transfert de données insuffisamment protecteur.
En plus de l’amende, la CNIL irlandaise a ordonné à la plate-forme de cesser tout transfert de données des internautes européens vers les Etats-Unis à compter du 12 octobre. L’entreprise a par ailleurs jusqu’au 12 novembre pour rapatrier les données des Européens collectées depuis 2020 vers des datacenters situés à l’est de l’Atlantique.
Le blocage des transferts de données ordonné par la DPC doit faire l’objet d’une période de transition préalable et sera certainement suivi d’un appel de Meta devant la justice irlandaise. Dans l’intervalle, il est possible qu’un nouvel accord juridique encadrant le transfert des données soit trouvé entre les Etats-Unis et l’Union européenne. La commission européenne et les autorités européennes sont actuellement en pleine négociations : leur issue pourrait intervenir dans les prochaines semaines.
La DPC s’est vu doter de pouvoirs de régulation très importants depuis l’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD), en mai 2018 : le texte a mis en place des « guichets uniques » pour les grandes entreprises du numérique, qui font du régulateur national du pays où se trouve leur siège européen leur unique interlocuteur. L’Irlande, qui accueille ceux d’Alphabet (Google, YouTube), Meta (Facebook, Instagram, WhatsApp) et Microsoft, est donc en première ligne pour enquêter sur les plaintes visant les plus grandes entreprises mondiales du secteur. Cette condamnation record de Meta intervient à quelques jours du cinquième anniversaire de l’entrée en vigueur du RGPD, le 25 mai.