• Les autorités de régulation irlandaises rappellent sévèrement à l'ordre le groupe Meta -fr 
Nos publications

Les autorités de régulation irlandaises rappellent sévèrement à l’ordre le groupe Meta

Une première condamnation le 4 janvier 2023 de 390 millions d’euros n’aura pas suffi à Meta pour se mettre en conformité avec le RGPD. Les autorités de régulation irlandaises se sont donc mises au diapason : le groupe américain s’est vu infligé ce lundi une amende record de 1,2 milliard d’euros, l’amende la plus lourde jamais imposée dans le cadre du RGPD. Jusqu’alors, Amazon détenait le record avec une amende de 746 millions d’euros au Luxembourg reçue en 2021.


Compte tenu de l’ampleur du groupe, l’amende maximale aurait pu être de quatre milliards pour deux motifs :

  • Meta a fait du profit grâce à ces données personnelles collectées durant plus de dix années
  • La décision ne concerne que Facebook.

Associée à l’amende, une astreinte a été ordonnée à Meta pour faire cesser immédiatement tout transfert de données des internautes européens vers les Etats-Unis à compter du 12 octobre 2023. Les données déjà collectées depuis 2020 via les « clauses contractuelles types » doivent, elles, être rapatriées en Europe avant le 12 novembre 2023.

Les clauses contractuelles types (ou CCT) issues du Privacy Shield étaient insuffisantes au regard du RGPD. Le 4 juin 2021, la Commission européenne a adopté deux séries de clauses contractuelles types (CCT) pour remplacer le système de transfert de données Privacy Shield – une série pour les responsables du traitement et les sous-traitants, et une autre pour le transfert de données personnelles vers des pays tiers, qui intéresse l’affaire Meta vs Irlande. En effet, elles tiennent compte de l’arrêt Schrems II de la CJUE en garantissant un niveau élevé de protection des données pour les citoyens : les CTT peuvent toujours être utilisées pour transférer des données vers les pays tiers, mais il incombe à l’importateur de données (ici, Meta) d’évaluer si la législation du pays tiers permet de respecter le niveau de protection requis par le RGPD.

hand-holding-padlock

Cette décision irlandaise a été largement révisée par l’European Data Protection Board, car les autorités de régulation irlandaise se montraient encore timides vis-à-vis des géants du numérique (comme Meta). En effet, sur 54 dossiers instruits depuis 2018, la Data Protection Commission (DPC) irlandaise a conclu des accords à l’amiable dans quarante-six cas, ne menant à des procédures de sanctions jusqu’à leur terme que pour les huit restants.

Parmi toutes les instances de protection des données en Union Européenne, l’Irlande est celle qui voit le plus de ses décisions retoquées ou revues à la hausse par le Comité européen de la protection des données.

 

Cette amende est la quatrième reçue par Meta en à peine six mois. En janvier, l’Irlande avait déjà sanctionné le groupe à hauteur de 400 millions d’euros. Il lui était reproché des infractions sur l’utilisation des données personnelles à des fins publicitaires visant ses applications Facebook, Instagram et WhatsApp. Tristement habitué aux condamnations, le groupe a déjà fait appel de cette décision.

Capture d’écran 2023-05-24 163932

 

Rien d’étonnant à ce que la plupart des groupes américains installent leur siège en Irlande pour avoir une emprise sur l’Union européenne.

Avec cette décision se joue à nouveau la scène interminable de l’incompatibilité (actuelle) entre les systèmes européens et américains sur la gestion des données personnelles. Au sein de l’Europe les décisions sont encore disparates et nécessitent l’intervention de l’EDPB afin de « donner l’exemple ».

En février dernier, le Comité Européen à la protection des données (CPED) a rendu son avis sur le projet de décision d’adéquation de la Commission européenne. Les Etats-Unis et l’Union européenne sont en négociations pour obtenir un accord depuis que le président des Etats-Unis, Joe Biden, a adopté le 7 octobre 2022 un nouveau cadre juridique (Executive Order) pour renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains. Des améliorations sont encore attendues à ce jour.

 

 

 

Article écrit par Carolann Volmat.