L’UE frappe Meta avec une amende record de 1,2 milliard d’euros pour la confidentialité – POLITICO

Le géant américain de la technologie Meta a été frappé d’une amende record de 1,2 milliard d’euros pour non-respect des règles de confidentialité de l’UE.

La Commission irlandaise de protection des données a annoncé lundi que Meta avait violé la Règlement général sur la protection des données (GDPR) lorsqu’il a transféré des tonnes de données personnelles d’utilisateurs européens de Facebook vers les États-Unis sans les protéger suffisamment des pratiques de surveillance des données de Washington.

C’est la plus grosse amende infligée sous le phare du bloc Règlement général sur la protection des données (RGPD) sur la protection de la vie privée et elle intervient à la veille du cinquième anniversaire de l’application de la loi le 25 mai.

Amazon a déjà été condamné à une amende de 746 millions d’euros par le Luxembourg et le régulateur irlandais a également infligé quatre amendes aux plateformes Facebook, Instagram et WhatsApp de Meta allant de 405 à 225 millions d’euros au cours des deux dernières années.

L’organisme irlandais de surveillance de la vie privée a déclaré que l’utilisation par Meta d’un instrument juridique connu sous le nom de clauses contractuelles types (SCC) pour transférer des données aux États-Unis “n’a pas abordé les risques pour les droits et libertés fondamentaux” des utilisateurs européens de Facebook soulevés par une décision historique du Cour suprême de l’UE.

La Cour européenne de justice en 2020 frappé un accord sur les flux de données entre l’UE et les États-Unis connu sous le nom de Privacy Shield par crainte des pratiques de surveillance des services de renseignement américains. Dans le même jugement, la plus haute juridiction de l’UE a également renforcé les exigences d’utilisation des SCC, un autre outil juridique largement utilisé par les entreprises pour transférer des données personnelles aux États-Unis.

Meta – ainsi que d’autres sociétés internationales – ont continué à s’appuyer sur l’instrument juridique alors que les responsables européens et américains luttaient pour mettre en place un nouvel arrangement de flux de données et que le géant américain de la technologie manquait d’autres mécanismes juridiques pour transférer ses données personnelles.

L’UE et les États-Unis sont en train de finaliser un nouvel accord sur les flux de données qui pourrait intervenir dès juillet et jusqu’en octobre. Meta a jusqu’au 12 octobre pour cesser de compter sur les SCC pour leurs transferts.

Le géant américain de la technologie avait précédemment averti que s’il était contraint d’arrêter d’utiliser les SCC sans un accord de flux de données alternatif approprié en place, il pourrait fermer des services comme Facebook et Instagram en Europe.

Meta a également jusqu’au 12 novembre pour supprimer ou renvoyer dans l’UE les données personnelles des utilisateurs européens de Facebook transférées et stockées aux États-Unis depuis 2020 et jusqu’à ce qu’un nouvel accord UE-États-Unis soit conclu.

“Cette décision est imparfaite, injustifiée et crée un dangereux précédent pour les innombrables autres entreprises transférant des données entre l’UE et les États-Unis”, ont déclaré lundi le président des affaires mondiales de Meta, Nick Clegg, et la directrice juridique, Jennifer Newstead, dans un communiqué.

Clegg et Newstead ont déclaré que la société ferait appel de la décision et demanderait un sursis auprès des tribunaux pour suspendre les délais de mise en œuvre. “Il n’y a pas de perturbation immédiate de Facebook car la décision inclut des périodes de mise en œuvre qui courent jusqu’à la fin de cette année”, ont-ils ajouté.

Max Schrems, le militant de la protection de la vie privée à l’origine de la plainte initiale de 2013 soutenant l’affaire, a déclaré : “Nous sommes heureux de voir cette décision après dix ans de litige… À moins que les lois américaines sur la surveillance ne soient corrigées, Meta devra restructurer fondamentalement ses systèmes.”

La Commission irlandaise de protection des données a déclaré qu’elle n’était pas d’accord avec l’amende et la mesure qu’elle imposait à Meta, mais qu’elle avait été forcée par le réseau paneuropéen de régulateurs nationaux, le Comité européen de la protection des données (EDPB), après que la décision initiale de Dublin ait été contestée par quatre de ses pairs régulateurs en Europe.

Cet article a été mis à jour pour inclure les commentaires de Meta et Max Schrems.