La société mère de Facebook, Meta, condamnée à une amende de 1,3 milliard de dollars dans l’UE pour violation de la confidentialité des données

L’Union européenne a infligé à Meta Platforms, la société mère de Facebook, Instagram et WhatsApp, une amende de 1,2 milliard d’euros (1,3 milliard de dollars) pour violation de la vie privée, la plus importante amende jamais infligée par les régulateurs de l’UE.

La Commission irlandaise de protection des données (DPC) – qui a compétence sur les activités de Meta en Europe en raison du siège du géant américain de la technologie à Dublin – a annoncé l’amende lundi 22 mai.

La commission a constaté que Meta avait violé le règlement général sur la protection des données (RGPD) de l’UE en transférant les données des utilisateurs de Facebook aux États-Unis sans les garanties nécessaires en place pour s’assurer que les États-Unis ne surveillaient pas les données des utilisateurs européens.

Le comité européen de la protection des données, qui coordonne les activités des commissions de protection de la vie privée des États membres de l’UE, « a constaté que l’infraction de Meta IE est très grave car elle concerne des transferts systématiques, répétitifs et continus », a déclaré la présidente de l’EDPB, Andrea Jelinek, dans un communiqué.

« Facebook compte des millions d’utilisateurs en Europe, donc le volume de données personnelles transférées est énorme. L’amende sans précédent est un signal fort pour les organisations que les infractions graves ont des conséquences considérables.

Meta avait précédemment averti que, à moins que l’Union européenne et les États-Unis ne parviennent à un accord sur le partage des données des utilisateurs, il pourrait fermer ses services dans l’UE.

Cependant, la commission a donné à Meta jusqu’en octobre pour supprimer ou renvoyer à l’UE les données personnelles des utilisateurs de Facebook dans les pays membres de l’UE. Avant l’arrivée de cette date limite, on s’attend à ce que les États-Unis et l’UE soient parvenus à un accord sur de nouvelles réglementations en matière de protection des données qui permettront aux entreprises américaines de continuer à stocker les données des utilisateurs européens aux États-Unis, rapporte Politico.

Facebook s’était appuyé sur un accord antérieur entre les États-Unis et l’UE, connu sous le nom de Privacy Shield, pour ses transferts de données d’utilisateurs européens vers les États-Unis, ainsi que sur des outils juridiques connus sous le nom de clauses contractuelles types (CSC) qui régissent le transfert de données personnelles depuis l’UE. vers d’autres pays.

Cependant, en 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé le bouclier de protection des données, au motif que l’accord ne faisait pas assez pour protéger les citoyens de l’UE de la surveillance exercée par le gouvernement américain. Il a également restreint l’utilisation des CSC.

Dans son annonce de la décision lundi, le DPC a déclaré que les SCC de Facebook « n’ont pas abordé les risques pour les droits et libertés fondamentaux des personnes concernées qui ont été identifiés par la CJUE dans son arrêt ».

« Cette décision est erronée, injustifiée et crée un dangereux précédent pour les innombrables autres entreprises qui transfèrent des données entre l’UE et les États-Unis. »

Nick Clegg et Jennifer Newstead, méta-plateformes

Dans une déclaration publiée lundi après la publication de la décision du DPC, Nick Clegg, président des affaires mondiales chez Meta, et Jennifer Newstead, directrice juridique de Meta, ont averti que si les États-Unis et l’UE ne résolvaient pas leurs différends sur les réglementations en matière de confidentialité, cela pourrait mettre en péril des milliards de dollars de commerce transatlantique.

« Il existe un conflit de droit fondamental entre les règles du gouvernement américain sur l’accès aux données et les droits à la vie privée des Européens. C’est un conflit que ni Meta ni aucune autre entreprise ne pourrait résoudre par elle-même. Nous sommes donc déçus d’avoir été distingués en utilisant le même mécanisme juridique que des milliers d’autres entreprises cherchant à fournir des services en Europe », indique le communiqué.

La déclaration de Clegg et Newstead a également noté que la Commission irlandaise de protection des données avait décidé, dans sa décision initiale de juillet 2022, de ne pas infliger d’amende à Meta pour violation.

Cependant, quatre des organisations homologues de la DPA – que Politico a identifiées comme étant des agences d’Autriche, de France, d’Allemagne et d’Espagne – ont contesté cette décision, insistant sur le fait que Meta encourt une amende administrative et l’obligation de transférer les données des utilisateurs vers l’Europe.

Le DPC a porté l’affaire devant le CEPD, qui a décidé que Meta devait faire face à une amende et être tenu de cesser d’envoyer les données des utilisateurs de l’UE aux États-Unis dans les cinq mois suivant la notification de la décision, qui aurait eu lieu le 12 mai.

« Cette décision est imparfaite, injustifiée et crée un dangereux précédent pour les innombrables autres entreprises transférant des données entre l’UE et les États-Unis », ont déclaré Clegg et Newstead de Meta dans leur communiqué.

« Cela soulève également de sérieuses questions sur un processus réglementaire qui permet à l’EDPB d’annuler ainsi un régulateur principal, ignorant les conclusions de son enquête pluriannuelle sans donner à l’entreprise en question le droit d’être entendue. »

Avant la décision de lundi, la sanction la plus lourde jamais infligée par les régulateurs de la vie privée de l’UE était une amende de 746 millions d’euros contre le détaillant en ligne Amazon, liée à la manière dont l’entreprise a obtenu le consentement pour la publicité ciblée.

Meta s’est également récemment retrouvé en conflit avec un régulateur américain – la Federal Trade Commission, qui a déclaré plus tôt ce mois-ci que Meta « n’a pas pleinement respecté » une ordonnance de confidentialité de 2020, « a trompé les parents sur leur capacité à contrôler avec qui leurs enfants communiquaient ». via son application Messenger Kids, et a déformé l’accès qu’il a fourni à certains développeurs d’applications aux données des utilisateurs privés.

La FTC a proposé d’interdire à Meta de monétiser les données des utilisateurs de moins de 18 ans, une décision que Meta a décrite comme un « coup politique ».L’industrie de la musique dans le monde