Meta condamné à une amende de 1.2 milliard d’euros
La société Américaine « Meta » a été, le lundi 22 mai 2023, condamnée par la Data Protection Commission (DPC), équivalent irlandais de la CNIL, à payer une amende de 1.2 milliard d’euros. Ce montant, sans précédent, excède l’amende de 390 millions d’euros, dont le géant américain avait déjà été condamné à payer.
Cette décision, adoptée de manière définitive le 12 mai 2023, est la conséquence de la violation de l’article 46 du Règlement général sur la protection des données, constatée au cours de l’enquête menée par la DPC sur « Meta Ireland ». En effet, la société américaine a continué de transférer les données personnelles de ses clients Européens à destination des Etats-Unis après la publication, le 16 juillet 2020, de l’arrêt de la Cour de justice de l’Union européenne (CJUE) nommé « Schrems II ». Ce dernier avait invalidé le régime de transfert de données entre l’Union européenne et les États-Unis (Privacy shield).
Bien que « Meta Ireland » ait effectué ces transferts sur la base des clauses contractuelles types mises à jour (« CCT »), adoptées par la Commission européenne le 4 juin 2021, en conjonction avec des mesures supplémentaires mises en œuvre par la société. La DPC a constaté que ces arrangements ne tenaient pas compte des risques pour les droits fondamentaux et les libertés des personnes concernées identifiées par la CJUE dans l’arrêt « Schrems II ».
Un arrêt du transfert de données personnelles
L’homologue irlandais de la Cnil a adressé une ordonnance, en vertu de l’article 58.2 du RGPD, exigeant que Meta Ireland suspende tout futur transfert de données personnelles vers les États-Unis dans un délai de cinq mois à compter de la date de notification de la décision de la DPC.
Cette dernière a également émis une ordonnance, exigeant que la société américaine mette fin à ses opérations de traitement en conformité avec le chapitre V du RGPD dans un délai de 6 mois suivant la date de notification. Cessant ainsi le traitement illégal, y compris le stockage, aux États-Unis, des données personnelles des utilisateurs européens.
Le rôle de la Data Protection Commission
La république d’Irlande, accueillant les sièges européens de nombreuses entreprises mondiales telles que ceux d’Alphabet (Google, YouTube), Meta (Facebook, Instagram, WhatsApp) et Microsoft, possède un pouvoir de régulation très important. En effet, les entreprises du numérique ayant comme interlocuteur principal le régulateur national du pays où elles se trouvent, la DPC se trouve en première ligne pour enquêter sur les plaintes visant les entreprises mondiales du secteur.
Cependant, il est important de notifier que le régulateur irlandais est régulièrement visé par des critiques de la part des défenseurs des données personnelles pour son attitude à l’égard des spécialistes du numérique. L’European Data Protection Board (EDPB), regroupant l’ensemble des homologues de la Cnil à l’échelle européenne, avait notamment amendé le projet de décision de la DCP, jugeant l’amende initialement proposée trop faible. Cela n’a pas manqué de faire réagir Meta, la société américaine estimant que le fait que l’EDPB ait pu imposer ses vues « soulève de sérieuses questions ».
Pour vous mettre en conformité, et éviter une amende, vous pouvez vous référer à notre page DPO externe ou Mise en conformité RGPD.