L’autorité irlandaise de protection des données (DPC, pour <em>Data Protection Commission</em>) vient de rendre une décision très importante à l’égard de Meta, la société mère de Facebook. Par cette décision, elle inflige à Meta une lourde amende de 1,2 milliard d’euros et ordonne la suspension des transferts de données personnelles de l’UE vers les États-Unis. Ces sanctions sont motivées par des préoccupations relatives aux lois américaines sur la surveillance. Meta compte faire appel de cette décision et espère qu’un nouvel accord transatlantique sur les transferts de données pourra la tirer d’affaire.
L’issue de cette action en justice a d’importantes répercussions pour la protection des données et de la vie privée en Europe. Poursuivez votre lecture pour en savoir plus 👇
Cette affaire aura duré dix ans, impliqué trois actions en justice distinctes et coûté des millions d’euros de frais juridiques.
→ En 2013, la DPC rejette la demande initiale, qu’elle juge « frivole ». Max Schrems, fondateur de NOYB – European Center for Digital Rights, saisit alors la Cour de justice de l’Union européenne (CJUE).
→ Plus tard, la DPC explique qu’elle ne peut pas s’en mêler puisque Meta utilise des clauses contractuelles types. La CJUE rejette cet argument et ordonne à la DPC de faire appliquer la loi.
→ En janvier 2023, la DPC inflige à Meta une amende de 390 millions d’euros pour avoir violé les exigences du RGPD par le biais de ses services Facebook et Instagram. Le Comité européen de la protection des données (CEPD) et d’autres autorités de contrôle européennes jugent cependant ce montant trop bas, ce qui entraine une réévaluation de la situation.
🔎 Retrouvez plus d’informations sur cette affaire dans notre article →
Au fil des années, les frais de justice s’accumulent jusqu’à dépasser les 10 millions d’euros. Quant à l’amende, c’est l’État irlandais qui doit la recevoir.
Dans une décision historique à l’égard de Meta, la DPC irlandaise vient d’ordonner la cessation des transferts de données personnelles de l’UE vers les États-Unis, au motif de préoccupations relatives aux lois américaines sur la surveillance.
Favorable à cette décision, le CEPD avait insisté sur l’importance d’une amende considérable et du rapatriement des données déjà envoyées aux États-Unis vers des centres de données situés dans l’UE.
À peine l’ordonnance de suspension reçue, Meta a publié un article de blog pour s’exprimer sur la situation et annoncer son intention de faire appel.
💬 Dans sa déclaration, Meta s’est focalisée sur le conflit entre les lois de l’UE et des États-Unis, soulignant la complexité des cadres juridiques internationaux pour expliquer la décision de la DPC.
Pour encadrer les transferts de données ultérieurs, Meta compte sur un nouvel accord transatlantique sur les transferts de données. Toutefois, ce nouvel accord ne saurait absoudre Meta de ses violations passées. Par ailleurs, cet accord a été critiqué par le Parlement européen et pourrait être invalidé par le CJUE, tout comme l’ont été les accords transatlantiques précédents (le « Bouclier de protection des données » et le « Safe Harbor »).
💬 D’après Max Schrems, le nouvel accord a peu de chances de résister à un examen judiciaire. Sans une évolution des lois américaines sur la surveillance, Meta devra donc probablement conserver les données des citoyens de l’UE sur le territoire de l’UE.
La Commission européenne et les États-Unis sont parvenus à un accord de principe au sujet du cadre transatlantique pour la protection des données (DPF, pour <em>Data Privacy Framework</em>). Le DPF doit permettre de garantir que les données transférées vers les États-Unis bénéficient d’une protection adéquate. Il répond à une décision de la Cour de justice de l’Union européenne relative à la sécurité des transferts de données.
Ce texte n’en est pas encore à sa version finale. Les États-Unis ont signé un décret qui reprend les engagements formulés dans cet accord. Cependant, la Commission européenne doit émettre un projet de décision d’adéquation basé sur ce décret. Le CEPD a également participé à la procédure et émis un avis.
Il est probable qu’aucun changement immédiat ne soit à prévoir.
→ Cette décision récente prévoit une période de transition d’environ six mois à l’issue de laquelle Meta devra suspendre les transferts de données.
→ Pendant cette période, le fonctionnement du service se poursuivra comme avant.
→ Puisque Meta a fait part de son intention de faire appel de cette décision, elle cherchera peut-être à en retarder l’application le temps de présenter ses arguments devant une cour d’appel.
Personne ne sait si le nouvel accord transatlantique sur les transferts de données sera adopté avant la fin de la période de transition de six mois. En théorie, Meta pourrait éviter d’avoir à suspendre les transferts de données transatlantiques (et donc la prestation de son service dans l’UE) pendant la période de transition si l’adoption d’un nouvel accord lui offrait une alternative.
Cependant, il est très peu probable qu’un tel accord ait un effet rétroactif et invalide les sanctions prononcées.
Par ailleurs, il est probable que le nouvel accord transatlantique sur les transferts de données fasse l’objet de contestations en justice. Meta et les autres géants américains de la technologie dont le modèle commercial repose sur des transferts de données vers les États-Unis pourraient donc être confrontés à des défis similaires à l’avenir.
📬 Want more news like this delivered to your inbox? Join the list @ dponewsletter.com
