l’Europe GDPR vient de porter son plus gros coup de marteau à ce jour. Presque exactement cinq ans après l’entrée en vigueur des règles strictes du continent en matière de données, Meta a été frappé d’une amende colossale de 1,2 milliard d’euros (1,3 milliard de dollars) pour avoir envoyé des données sur des centaines de millions d’Européens aux États-Unis, où des règles de confidentialité plus faibles l’ouvrent. à l’espionnage américain.
La Commission irlandaise de protection des données (DPC), le principal régulateur de Meta en Europe, a infligé l’amende après des années de différend sur la manière dont les données sont transférées outre-Atlantique. La décision indique qu’un mécanisme juridique complexe, utilisé par des milliers d’entreprises pour transférer des données entre les régions, n’était pas légal.
L’amende est la plus grosse sanction GDPR jamais infligée, éclipsant l’amende de 833 millions de dollars du Luxembourg contre Amazon. Cela porte le montant total des amendes prévues par la législation à environ 4 milliards d’euros. Cependant, c’est un petit changement pour Meta, qui a gagné 28 milliards de dollars au cours des trois premiers mois de cette année.
En plus de l’amende, la décision du DPC donne cinq mois à Meta pour cesser d’envoyer des données d’Europe vers les États-Unis et six mois pour cesser de traiter les données qu’il a précédemment collectées, ce qui pourrait signifier supprimer des photos, des vidéos et des publications Facebook ou les renvoyer en Europe. . La décision est susceptible de mettre en lumière d’autres pouvoirs du RGPD, ce qui peut avoir un impact sur la façon dont les entreprises traitent les données et sans doute toucher au cœur du capitalisme de surveillance de Big Tech.
Meta se dit “déçu” par la décision et fera appel. La décision est également susceptible d’exercer une pression supplémentaire sur les négociateurs américains et européens qui s’efforcent de finaliser un nouvel accord de partage de données tant attendu entre les deux régions, qui limitera les informations sur lesquelles les agences de renseignement américaines peuvent mettre la main. Un projet de décision a été approuvé fin 2022, un accord potentiel étant finalisé plus tard cette année.
“L’ensemble des relations commerciales et commerciales entre l’UE et les États-Unis, fondées sur les échanges de données, pourraient être affectées”, déclare Gabriela Zanfir-Fortuna, vice-présidente de la confidentialité mondiale au Future of Privacy Forum, un groupe de réflexion à but non lucratif. “Bien que cette décision s’adresse à Meta, il s’agit de faits et de situations identiques pour toutes les entreprises américaines faisant des affaires en Europe offrant des services en ligne, des paiements, au cloud, aux médias sociaux, aux communications électroniques, ou aux logiciels utilisés dans les écoles et administrations publiques ».
“Décision douce-amère”
L’amende d’un milliard d’euros contre Meta a une longue histoire. Cela remonte à 2013, bien avant la mise en place du RGPD, lorsque l’avocat et militant de la protection de la vie privée Max Schrems s’est plaint de la capacité des agences de renseignement américaines à accéder aux données à la suite des révélations d’Edward Snowden sur la National Security Agency (NSA). Deux fois depuis lors, les plus hauts tribunaux européens ont invalidé les systèmes de partage de données entre les États-Unis et l’UE. La deuxième de ces décisions, en 2020, a rendu l’accord Privacy Shield inefficace et a également resserré les règles concernant les «clauses contractuelles types (SSC)».
L’utilisation des SCC, un mécanisme légal de transfert de données, est au centre de l’affaire Meta. En 2020, Schrems s’est plaint de leur utilisation par Meta pour envoyer des données aux États-Unis. La décision irlandaise d’aujourd’hui, qui est soutenue par d’autres régulateurs européens, a conclu que l’utilisation par Meta de l’outil juridique “ne traitait pas les risques pour les droits et libertés fondamentaux des personnes concernées”. Bref, ils étaient illégaux.
