Le coup est rude : Meta (anciennement Facebook), vient d’écoper d’une ordonnance de suspension délivrée par l’Irish Data Protection Commission (la Cnil Irlandaise) en vertu des règles du Comité européen sur la protection des données (EDPB/European Data Protection Board), une ordonnance l’obligeant à suspendre l’exportation des données des utilisateurs de l’Union européenne vers les États-Unis. Suite à ces transferts massifs et automatisés de données, l’IDPC a en outre infligé une amende de 1,2 milliard d’euros à Meta, une somme record en vertu du règlement général sur la protection des données (RGPD). Cette sanction très lourde découle de l’incapacité de Meta à assurer un niveau de protection adéquat pour les données personnelles transférées aux États-Unis, en violation de la réglementation paneuropéenne régissant ces transferts.
Cette sanction financière, sans précédent à l’échelle de l’Union européenne, dépasse largement celle infligée à Amazon en juillet 2021, qui s’élevait alors à 746 millions d’euros.
Dans un communiqué au ton cinglant, l’EDPB appuie sur la gravité de l’infraction de Meta, soulignant la nature systématique, répétitive et continue des transferts de données relatifs à des dizaines de millions d’utilisateurs. Meta a rapidement annoncé son intention de faire appel de l’ordonnance de suspension, et estime que les transferts de données actuels résultent d’un conflit entre la législation européenne et américaine plutôt que de ses propres pratiques en matière de confidentialité. Meta affirme en outre que les législateurs européens et américains travaillent déjà sur un nouvel accord de transfert de données transatlantique permettant de résoudre ce conflit, même si dans les faits aucun accord de ce type n’a encore été ne serait-ce qu’esquissé.
Max Schrems, l’activiste à l’origine de l’arrêt de la CJUE, s’est dit « heureux de cette décision ». « L’amende aurait pu être plus importante, étant donné que le maximum peut être de quatre milliards et que Meta a enfreint la loi pour faire du profit pendant dix ans« , a ajouté l’expert, faisant référence aux premières démarches entreprises pour faire invalider le précédent mécanisme de transfert de données.
Selon les termes de l’ordonnance suspensive, Meta dispose désormais d’un délai de 6 mois avant de suspendre effectivement les flux de données de l’Europe vers les Etats-Unis (à partir du 12 octobre), et jusqu’au 12 novembre pour rapatrier les données des Européens collectées depuis 2020 vers des datacenters situés à l’est de l’Atlantique. Cependant, la procédure d’appel pourrait permettre de gagner un peu plus de temps encore. Sans solution pérenne à moyen terme, Meta ainsi que d’autres géants de la tech américaine pourraient se voir dans l’obligation d’installer des infrastructures de serveurs sur le sol européen.
et au profit de qui ? qui prendra cet argent ?
et de toute façon, ils ne paieront pas. bleh.