L’autorité de régulation irlandaise a annoncé lundi que Meta s’était vu infliger une amende de 1,3 milliard de dollars (1,2 milliard d’euros). L’entreprise technologique détenue par Facebook devra payer une amende pour avoir transféré des données d’utilisateurs de l’UE vers les États-Unis contre l’avis préalable du tribunal.
La Commission irlandaise de protection des données (DPC), un agent de l’Union européenne, a déclaré que le Conseil européen de la protection des données (EDPB) lui avait demandé de garantir “une amende administrative d’un montant de 1,2 milliard d’euros”.
La Cour de justice de l’Union européenne (CJUE) interprète le droit communautaire afin de s’assurer que tous les États membres s’y conforment de manière uniforme.
Le CPD a enquêté sur le transfert par Meta Ireland de données à caractère personnel de l’UE vers les États-Unis depuis 2020. L’enquête a révélé que Meta n’a pas “abordé les risques pour les droits et libertés fondamentaux des personnes concernées” qui ont été soulignés dans le dernier arrêt de la CJUE. Le siège européen de Meta est basé à Dublin, la capitale de l’Irlande.
Meta a répondu qu’elle était “déçue d’avoir été pointée du doigt” et que le jugement était “imparfait, injustifié et créait un dangereux précédent pour d’innombrables autres entreprises”.
Dans un billet de blog, Nick Clegg, président des affaires internationales de Meta, et Jennifer Newstead, directrice juridique, ont déclaré : “Nous avons l’intention de faire appel à la fois de la substance de la décision et de ses ordonnances, y compris l’amende, et nous chercherons à obtenir un sursis auprès des tribunaux afin de suspendre les délais de mise en œuvre”. Ils ont ajouté : “Il n’y a pas de perturbation immédiate pour Facebook en Europe.”
Meta soumis à une “amende administrative”
Dans le scénario actuel, le DPC avait déjà voulu pousser Meta à mettre un terme à ces transferts de données non désirés en déclarant que l’imposition d’une amende “dépasserait l’étendue des pouvoirs qui pourraient être décrits comme étant ‘appropriés, proportionnés et nécessaires'”.
Ses homologues de l’UE, connus sous le nom d’autorités de contrôle concernées (CSA), l’ont contredit et la DPC a clarifié la situation en déclarant que ces transferts étaient censés faire l’objet d’une amende administrative.
Aucun terrain d’entente n’ayant été trouvé, la DPC a fait part de ses objections à l’EDPB, qui a déclaré que Meta Ireland devait cesser de transférer les données personnelles de ses utilisateurs européens vers les États-Unis et s’acquitter d’une amende.
Meta a déjà été condamnée à des centaines de millions d’euros d’amende pour des violations de données par ses services Instagram, WhatsApp et Facebook. Jusqu’à présent, c’est la troisième fois que le géant des médias sociaux se voit infliger une amende en 2023 dans l’UE et la quatrième en six mois.
En janvier, le CPD a infligé à Meta une amende de 390 millions d’euros pour violation des règles en matière de données en ce qui concerne la publicité ciblée sur son application. En mars, Meta a dû payer 5,5 millions d’euros pour avoir enfreint le GDPR avec son service de messagerie WhatsApp. Dans ses amendes précédentes, Meta a été accusée d’avoir modifié son utilisation en Europe pour continuer à acquérir et à traiter les données privées des utilisateurs en Europe.
Un signal fort
L’annulation par l’EDPB de la position du DPC “soulève de sérieuses questions”, ont déclaré M. Clegg et M. Newstead. Ils ont ajouté : “Aucun pays n’a fait plus que les États-Unis pour s’aligner sur les règles européennes par le biais de leurs dernières réformes, alors que les transferts se poursuivent largement sans contestation vers des pays tels que la Chine”.
Andrea Jelinek, présidente de l’EDPB, a qualifié la violation des données par Meta de “très grave” et a qualifié ses transferts de données de “systématiques, répétitifs et continus”. Elle a ajouté : “L’amende sans précédent est un signal fort pour les organisations que les infractions graves sont lourdes de conséquences”.
