Le 22 mai 2023, la société Meta, maison mère des réseaux sociaux Facebook et Instagram, a été condamnée à une sanction financière inédite dans l’Union européenne de 1,2 milliard d’euros par le régulateur irlandais de la vie privée la Data Protection Commission (DPC). En cause : le transfert de données à caractère personnel depuis l’Union Européenne vers les Etats-Unis.
Malgré l’annulation par la CJUE (Cour de Justice de l’Union Européenne), en 2020, de l’accord conclu entre l’Union européenne et les Etats-Unis, le réseau social Facebook a continué à transférer des données à caractère personnel entre les deux rives de l’Atlantique.
Il sera tout d’abord rappelé qu’il n’est pas totalement interdit de transférer des données aux Etats-Unis depuis l’Union Européenne. En effet, une entreprise peut transférer des données vers les Etats-Unis à condition de garantir une protection suffisante des données des utilisateurs dans les conditions générales.
En l’occurrence, l’autorité irlandaise a estimé que les garanties apportées par Meta n’étaient pas suffisantes en raison de la possibilité offerte par la législation américaine de mettre en œuvre des programmes de surveillance relativement intrusifs, engendrant une violation de l’article 46 du règlement général sur la protection des données (RGPD).
L’amende prévue initialement était moins élevée mais elle a finalement atteint ce montant vertigineux de 1,2 milliard d’euros après l’amendement du projet de décision de la DPC par l’European Data Protection Board composée de l’ensemble des CNIL européennes.
De plus, l’autorité irlandaise a imposé au réseau social d’arrêter « le traitement illégal, y compris le stockage, aux Etats-Unis des données personnelles de l’UE/Utilisateurs de l’EEE transférées en violation du RGPD, dans les 6 mois suivant la date de notification de la décision du DPC ».
Enfin, elle a imposé au réseau social d’effacer les données des internautes européens collectées depuis 2020.
Meta a fait appel de cette décision. Affaire à suivre, donc…
Au-delà du cas de Meta, cette affaire illustre l’incertitude juridique dans laquelle se trouve placée les acteurs économiques transatlantiques en l’absence de toute réglementation régissant le transfert de données à caractère personnelle entre l’UE et les Etats-Unis. La commission européenne promet un nouveau texte dès cet été.