Ce 22 mai 2023, l’autorité de régulation des données personnelle irlandaise, la Data Protection Commission (« DPC »), agissant comme chef de file, a annoncé avoir infligé à la société Meta Ireland une amende record s’élevant à 1,2 milliards d’euros.
Article rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.
Ce 22 mai 2023, l’autorité de régulation des données personnelle irlandaise, la Data Protection Commission (« DPC »), agissant comme chef de file, a annoncé avoir infligé à la société Meta Ireland une amende record s’élevant à 1,2 milliards d’euros pour avoir enfreint l’article 46, paragraphe 1 du RGPD en transférant des données personnelles vers les Etats-Unis sans mettre en œuvre les garanties appropriées.
Depuis l’invalidation du Privacy Shield, Meta Ireland mettait en œuvre ces transferts sur la base des clauses contractuelles types, en conjonction avec des mesures supplémentaires que la DPC a considéré comme insuffisantes au regard des risques pour les droits et libertés des personnes concernées. Les données de ses utilisateurs européens sont en effet stockées aux Etats-Unis, les exposant à une potentielle surveillance des autorités américaines.
L’enquête avait été initialement lancée en août 2020 dans le cadre d’une procédure de coopération. Le projet de décision préparé par la DPC avait alors été soumis à ses régulateurs homologues dans l’UE/EEE qui l’avait rejeté et renvoyé au Comité européen de la protection des données (le « CEPD »).
Sur la base de la décision du CEPD, la DPC a :
- requis à Meta Ireland de suspendre tout transfert futur de données personnelles vers les États-Unis dans un délai de 5 mois à compter de la date de notification de la décision à Meta Ireland ;
- condamné Meta Ireland une amende administrative d’un montant de 1,2 milliards d’euros, cette amende, la plus élevée jamais imposée en vertu du RGPD, est justifiée par la gravité des manquements reprochés à la maison mère de Facebook, qui compte des millions d’utilisateurs en Europe, ce qui implique un énorme volume de données transférées en violation du RGPD ; et
- requis à Meta Ireland de mettre ses opérations de traitement en conformité avec le RGPD, en cessant le traitement illicite, y compris le stockage, aux États-Unis, de données personnelles d’utilisateurs de l’UE/EEE transférées sans garanties, dans un délai de 6 mois à compter de la date de notification de la décision du CPD à Meta Ireland.
Selon les termes d’Andrea Jelinek, présidente du CEPD « cette sanction est un signal fort pour les organisations que les infractions graves ont des conséquences considérables ». En effet, elle intervient dans un contexte de renforcement des contrôles envers les GAFAM, cette sanction étant la quatrième amende infligée à Meta Ireland en six mois.
De son côté, Meta Ireland qualifie cette amende d’« injustifiée et inutile » et souhaite demander sa suspension en justice. Dans ce contexte, le réseau social espère voir la Commission européenne adopter prochainement le nouveau projet de décision d’adéquation pour le transfert de données vers les Etats-Unis.
Dans l’immédiat, tant qu’un accord n’a pas été trouvé entre l’Europe et les Etats-Unis pour l’encadrement des flux de données vers les Etats-Unis, nous rappelons que la simple signature de clauses contractuelles types n’est pas suffisante pour assurer un transfert de données conforme au RGPD. Il est nécessaire de vérifier les garanties additionnelles mises en œuvre par le destinataire des données aux Etats-Unis pour assurer la confidentialité des données et l’impossibilité pour les autorités américaines d’y accéder.