La Data Protection Commission (DPC), l’autorité irlandaise de protection des données, a infligé le 22 mai à Meta une amende record de 1,2 milliard d’euros. Le géant américain est accusé d’avoir transféré les données d’utilisateurs européens de Facebook vers des serveurs situés aux États-Unis. La fin d’un bras de fer qui aura duré dix ans. Meta prévoit de faire appel de la décision.
10 ans de bataille
Les faits remontent en 2013, lorsque le lanceur d’alertes Edward Snowden levait le voile sur les pratiques d’espionnage de la NSA. Les révélations ont notamment pointé que les autorités américaines avaient accès aux données personnelles des utilisateurs de Facebook et Google. Face au scandale, Max Schrems, un juriste autrichien militant pour la protection de la vie privée en ligne, avait entamé une poursuite en justice contre Facebook, aujourd’hui Meta.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Il soulignait que les données européennes, une fois sur le territoire de l’Oncle Sam, pouvaient être légalement exploitées par Washington, en contradiction avec les textes européens. En conséquence, la Cour de Justice de l’Union européenne (CJUE) invalidait, en 2015, l’accord de transfert données entre les États-Unis et le Vieux Continent. Cinq ans plus tard, c’est un nouvel accord de transfert de données, le Privacy Shield qui se voyait annuler par la CJUE. La Cour a estimé que ce nouveau texte était toujours insuffisamment protecteur de la vie privée des Européens.
Une amende record
Dans son communiqué, la DPC souligne que la branche irlandaise de Meta a enfreint l’article 46, sur les garanties apportées à la protection des données transférées, du Règlement général sur la protection des données privées (RGPD), mis en place en 2018, « en continuant à transférer des données à caractère personnel de l’UE vers les États-Unis ». Si elle précise que ces transferts ont été effectués sur la base de clauses contractuelles depuis 2021, elle pointe du doigt des « dispositions ne répondant pas aux risques pour les droits et libertés fondamentaux des personnes concernées identifiés par la CJUE ».
La somme de 1,2 milliard d’euros à payer pour le groupe californien, en vertu du RGPD, est un record. L’ancien détenteur de la palme était Amazon avec une sanction de 746 millions d’euros administrée par le gendarme luxembourgeois pour des violations répétées du règlement.
Nick Clegg, président des affaires mondiales de Meta, et Jennifer Newsted, directrice juridique de la société, déclaraient que « cette décision est injuste et constitue un dangereux précédent pour les innombrables autres entreprises qui transfèrent des données entre l’Union européenne et les États-Unis ». Le mastodonte entend bien faire appel.
De son côté, NOYB, l’association de lutte pour la protection de la vie privée fondée par Max Schrems, se félicite de la condamnation de la DPC. « Nous sommes heureux de cette décision après dix ans de procédure », commente le militant. Selon lui, il est très peu probable que Meta obtienne l’annulation de cette sanction.