1,2 milliard d’euros ! C’est le montant record de l’amende infligée à Meta (maison-mère de Facebook, Instagram et WhatsApp) par la Data Protection Commission (DPC) irlandaise, pour le compte de l’Union européenne. Il s’agit là de la troisième amende infligée au géant américain depuis le début de l’année en Europe et la quatrième en six mois.
En cause ? Avoir outrepassé le RGPD en transférant illégalement les données d’utilisateurs européens du réseau social Facebook (uniquement) vers des serveurs localisés aux Etats-Unis. Et ce en vertu de l’invalidation d’un accord entre les deux zones géographiques, appelé Privacy Shield. Mais doit-on s’en satisfaire ?
L’agence de protection des données irlandaise ordonne aussi au géant américain de « suspendre tout transfert de données personnelles vers les Etats-Unis dans les cinq mois » (à compter du 12 octobre) suivant la notification de sa décision et de se mettre en conformité avec le RGPD dans les six mois. L’entreprise a donc jusqu’au 12 novembre pour rapatrier les données des Européens collectées depuis 2020 vers des datacenters situés de ce côté de l’Atlantique.
Il s’agit ici d’un « sérieux coup porté à Meta », a réagi Noyb dans un communiqué, l’association de défense de la vie privée fondée par l’activiste autrichien Max Schrems, à l’origine de cette procédure. Même si l’avocat précise que : « L’amende aurait pu être plus importante, étant donné que le maximum peut être de 4 milliards et que Meta a enfreint la loi pour faire du profit pendant dix ans ».
Dans la foulée d’un accord de principe adopté en mars 2022, la Commission européenne est actuellement en pleine négociation en vue de finaliser un pacte sur le transfert de données avec les Etats-Unis d’ici à cet été, a indiqué lundi un de ses porte-paroles. Aussi, « si le nouvel accord entre en vigueur avant l’expiration de la date limite fixée par la DPC, nos services pourront continuer comme à l’heure actuelle », a déclaré Meta. Nick Clegg, responsable des affaires publiques de Meta, jugeant que cette sanction était « injustifiée et inutile » (!) et « établissait un dangereux précédent pour les nombreuses entreprises qui transfèrent des données entre les Etats-Unis et l’UE ». Il compte bien faire appel en justice de la décision…
À noter que le 25 mai, l’Union européenne a fêté les cinq ans de l’entrée en application du RGPD. Hormis Amazon, qui avait été condamné par le Luxembourg à verser 746 millions d’euros, aucune autre entreprise a dû payer plus de 50 millions d’euros d’amende dans ce cadre…
Cet édito est issu de notre newsletter de la semaine du 22 mai au 26 mai 2023.
Découvrez là dès maintenant : newsletter-26mai/alliancy.fr
Et pour ne pas rater la prochaine newsletter Alliancy, inscrivez-vous : alliancy.fr/abonnement-newsletter