L'amende du GDPR pour Meta en 4 points clés

L'amende du GDPR pour Meta en 4 points clés

L'autorité irlandaise de protection des données a infligé une amende de 1,2 milliard d'euros à Meta Platforms Ireland Limited à la suite d'une enquête sur ses transferts de données vers les États-Unis. L'amende, la plus importante jamais infligée en vertu du GDPR, a été imposée pour l'utilisation par Meta de clauses contractuelles types pour transférer des données personnelles depuis le 16 juillet 2020. 

Que s'est-il passé ? 

En avril 2023, le Comité européen de la protection des données (EDPB) a adopté une décision contraignante qui chargeait la Commission de la protection des données (DPC) d'imposer une amende administrative à Meta Platforms Ireland Limited (Meta IE) pour sa violation du règlement général sur la protection des données (GDPR) dans le cadre du transfert de données à caractère personnel d'utilisateurs européens.  

L'EDPB a fondé sa décision sur les objections soulevées par de nombreuses autorités de contrôle et a demandé que l'amende soit comprise entre 20 % et 100 % du maximum autorisé.  

Sur la base de la décision contraignante, le 22 mai 2023, le DPC a ordonné à Meta IE de se conformer au GDPR et de payer une amende de 1,2 milliard d'euros. 

Qu'est-ce que Meta ? 

En octobre 2021, le géant des réseaux sociaux a changé son nom en Meta, ainsi qu'un nouveau design. Selon son PDG Mark Zuckerberg, la raison pour laquelle l'accent n'a pas été mis sur le nom Facebook était de recentrer l'entreprise sur la prochaine frontière numérique, à savoir la fusion de différents mondes numériques dans le "métavers".  

Cependant, le moment du changement de nom a coïncidé avec la nécessité pour l'entreprise de s'éloigner des problèmes que Facebook, en tant que réseau social, rencontrait avec la diffusion de fausses informations et de discours haineux, ainsi qu'avec le scandale Cambridge Analytica. 

Qu'est-ce que le GDPR ?

Le règlement général sur la protection des données (GDPR) est la loi la plus stricte au monde en matière de protection de la vie privée et de sécurité. Bien qu'il ait été rédigé et adopté par l'Union européenne (UE), il exige que les groupes, où qu'ils soient, suivent des règles spécifiques s'ils ciblent des personnes dans l'UE ou collectent des données à leur sujet. Ceux qui enfreignent les règles de confidentialité et de sécurité du GDPR devront payer de lourdes amendes. 

Avec le GDPR, l'Europe montre clairement qu'elle prend très au sérieux la confidentialité et la sécurité des données, à une époque où de plus en plus de personnes placent leurs informations personnelles dans le nuage, et où des failles de sécurité se produisent tous les jours.  

Meta IE a été reconnu coupable d'avoir enfreint l'article 46, paragraphe 1, du GDPR, qui stipule qu'un responsable du traitement ou un sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou une organisation internationale que si le responsable du traitement ou le sous-traitant "a fourni des garanties appropriées, et à condition que des droits exécutoires et des voies de recours effectives soient disponibles pour les personnes concernées". 

Quelle est l'histoire ?

La décision relative à la sphère de sécurité, adoptée en juillet 2000, a établi des dispositions pour les transferts de données entre l'UE et les États-Unis. Bien qu'elle ne considère pas que les États-Unis offrent une protection adéquate des données, elle autorise les transferts si l'entité destinataire certifie elle-même qu'elle respecte les principes et les lignes directrices de la sphère de sécurité publiés par le ministère américain du commerce. En conséquence, les dispositions de la "sphère de sécurité" ont été largement utilisées par les responsables du traitement des données de l'UE pour légitimer les transferts de données vers les États-Unis

En juin 2013, Edward Snowden, un contractant engagé par un tiers pour travailler pour l'Agence nationale de sécurité des États-Unis ("NSA"), a divulgué des documents montrant que la NSA dirigeait au moins un programme d'espionnage de l'internet et des systèmes téléphoniques de certaines des plus grandes entreprises technologiques du monde, telles que Microsoft, Apple, Meta US, et d'autres. 

Plus tard dans le mois, Maximillian Schrems a déposé une plainte auprès du Commissaire à la protection des données (DPC), arguant que le transfert de données personnelles de Meta Ireland à sa société mère américaine, Meta US, était illégal à la lumière de la divulgation des documents de Snowden. Le commissaire a d'abord refusé d'enquêter sur la plainte, citant la nature contraignante de la décision Safe Harbour. Schrems a contesté cette décision par le biais d'une demande de contrôle judiciaire visant à annuler le refus du commissaire et à demander une enquête sur la plainte. 

En réponse aux inquiétudes suscitées par la divulgation du document Snowden, les États-Unis et la Commission européenne ont créé un groupe de travail ad hoc UE/États-Unis en juillet 2013. L'objectif était d'étudier la portée des programmes de surveillance, le volume des données collectées, les mécanismes de contrôle et les niveaux de protection aux États-Unis et dans l'UE/EEE. En novembre 2013, la Commission européenne a publié un rapport basé sur les conclusions du groupe de travail, indiquant que des données avaient été collectées par le biais de directives adressées aux principaux fournisseurs d'accès à Internet et entreprises technologiques des États-Unis, notamment Microsoft, Yahoo, Google et Facebook. 

Le rapport fait état de plusieurs préoccupations concernant le droit américain, notamment : 

• L'existence de bases juridiques permettant la collecte et le traitement à grande échelle de données personnelles transférées à des fins de renseignement étranger ;  
• Les différences de garanties entre les personnes concernées de l'UE et des États-Unis, les citoyens américains bénéficiant de protections constitutionnelles qui ne s'appliquent pas aux citoyens de l'UE ;  
• Différents niveaux de protection des données pour différents types de données et étapes du traitement ;  
• Le manque de clarté concernant les autres bases juridiques et les conditions applicables ; et 
• Les personnes concernées, qu'elles soient européennes ou américaines, n'avaient pas la possibilité d'être informées de la collecte et du traitement de leurs données à caractère personnel.  

Schrems et le DPC sont parvenus à un accord concernant l'examen de la plainte. Ils ont convenu que l'enquête sur la plainte serait menée séparément et uniquement en référence aux dispositions applicables du GDPR et que la portée temporelle prendrait le 25 mai 2018 comme point de départ. 

En août 2020, le DPC a publié un avant-projet de décision. Il s'agissait d'une notification à Meta IE de l'ouverture d'une enquête de sa propre initiative, exposant son champ d'application et sa base juridique. Schrems a été invité à présenter des observations. En février 2022, le DCP a publié un avant-projet révisé et l'a communiqué aux autres autorités de contrôle concernées, dont plusieurs ont soulevé des objections. Le différend a ensuite été porté devant l'EDPB en septembre. 

En avril 2023, l'EDPB a adopté une décision contraignante concernant le différend soumis par l'autorité de contrôle irlandaise sur les transferts de données par Meta IE pour son service Facebook.  

Dans sa décision, l'EDPB charge le DPC d'imposer une amende administrative à Meta IE sur la base d'une évaluation de facteurs tels que : 

• "Un nombre très élevé de personnes concernées est affecté, et ce nombre déjà élevé peut continuer à augmenter jusqu'à ce qu'il soit effectivement mis fin à l'infraction", et "cette durée d'infraction est significative". 
• "Meta IE a commis l'infraction au moins avec le plus haut degré de négligence". 
• "Il y a suffisamment d'éléments dans l'analyse de ce facteur qui confirment le haut degré de responsabilité de Meta IE." 
• "Un grand nombre de catégories de données à caractère personnel ont été affectées par l'infraction, y compris des catégories particulières de données à caractère personnel en vertu de l'article 9 du GDPR. " 
• "C'est le modèle d'entreprise qui doit s'adapter et se conformer aux exigences que le GDPR fixe en général et pour chacune des bases juridiques, et non l'inverse." 

Sur la base de la décision contraignante, le DPC a pris sa propre décision en se fondant sur ses conclusions. En résumé, celles-ci sont les suivantes : 

• Les transferts de données par Meta IE sont effectués dans des circonstances qui ne garantissent pas aux personnes concernées un niveau de protection essentiellement équivalent à celui prévu par le droit de l'UE, ce qui constitue une violation de l'article 46, paragraphe 1, du GDPR ; 
• Ordonner à Meta IE de mettre ses opérations de traitement en conformité avec le chapitre V du GDPR en cessant le traitement illégal, y compris le stockage, aux États-Unis de données personnelles d'utilisateurs de l'EEE transférées en violation du GDPR ;  
• Imposer une amende administrative de 1,2 milliard d'euros à Meta IE au titre de la constatation de la violation de l'article 46, paragraphe 1, du GDPR. 

Que pouvons-nous apprendre ?

La décision du DPC a des conséquences importantes pour la protection de la vie privée dans le monde entier, soulignant la surveillance croissante et les défis auxquels sont confrontées les organisations impliquées dans les transferts internationaux de données. Elle souligne la nécessité de mettre en place des cadres solides de protection des données qui garantissent le droit à la vie privée des personnes, en particulier lors de transferts de données vers des pays où les normes en matière de protection de la vie privée sont différentes. Cette affaire rappelle que la protection de la vie privée est un droit fondamental et que les transferts transfrontaliers de données doivent respecter des garanties rigoureuses pour protéger les informations personnelles des individus. 

Cette affaire devrait inciter les organisations à réévaluer leurs mécanismes de transfert de données, à adopter d'autres mesures de protection et à se conformer à des réglementations plus strictes.