Meta a été condamné lundi à une amende record de 1,2 milliard d’euros (1,3 milliard de dollars) et à l’ordre de cesser de transférer les données collectées auprès des utilisateurs de Facebook en Europe vers les États-Unis, une décision majeure contre la société de médias sociaux pour violation des règles de protection des données de l’Union européenne.
La sanction, annoncée par la Commission irlandaise de protection des données, est potentiellement l’une des plus sévères de ces cinq dernières années depuis que l’Union européenne a adopté une loi historique sur la protection des données connue sous le nom de Règlement général sur la protection des données personnelles. Les régulateurs ont déclaré que la société n’avait pas respecté une Décision de 2020 de la Cour suprême de l’UE que les données transportées outre-Atlantique n’étaient pas suffisamment protégées des agences d’espionnage américaines.
La décision annoncée lundi ne s’applique qu’à Facebook, pas à Instagram et WhatsApp, que Meta possède également. Meta a déclaré qu’il ferait appel de la décision et qu’il n’y aurait pas d’interruption immédiate du service de Facebook dans l’Union européenne.
Il reste plusieurs étapes avant que l’entreprise ne doive fermer les données des utilisateurs de Facebook en Europe – des informations pouvant inclure des photos, des contacts avec des amis, des messages directs et des données collectées pour le ciblage publicitaire. La décision s’accompagne d’un délai de grâce d’au moins cinq mois pour que Meta se conforme. Et l’appel de la société mettra en place une procédure judiciaire potentiellement longue.
L’Union européenne et les responsables américains négocient un nouveau pacte de partage de données qui donnerait à Meta de nouvelles protections juridiques pour continuer à transférer les informations des utilisateurs entre les États-Unis et l’Europe. ET accord préalable a été annoncé l’année dernière.
Cependant, la décision de l’UE montre comment les politiques gouvernementales sont appliquées la manière sans frontières avec laquelle les données se déplacent traditionnellement. En raison des règles de protection des données, des lois sur la sécurité nationale et d’autres réglementations, les entreprises sont de plus en plus poussées à stocker les données dans le pays où elles sont collectées, plutôt que de les laisser se déplacer librement vers les centres de données du monde entier.
Le procès contre Meta découle des politiques américaines qui donnent aux agences de renseignement la possibilité d’intercepter les communications de l’étranger, y compris la correspondance numérique. En 2020, le militant autrichien de la protection de la vie privée Max Schrems a remporté un procès pour annuler le pacte américano-européen connu sous le nom de Privacy Shield, qui permettait à Facebook et à d’autres entreprises de transférer des données entre les deux régions. La Cour européenne de justice a déclaré que le risque d’espionnage américain viole les droits fondamentaux des utilisateurs européens.
“Jusqu’à ce que les lois américaines sur la surveillance soient fixées, Meta devra restructurer fondamentalement ses systèmes”, a déclaré Schrems dans un communiqué lundi. La solution, a-t-il dit, serait probablement un “réseau social fédéré” dans lequel la plupart des données personnelles resteraient dans l’UE, à l’exception des transferts “nécessaires”, comme lorsqu’un Européen envoie un message direct à quelqu’un aux États-Unis.
Lundi, Meta a déclaré qu’il était injustement pointé du doigt pour les pratiques de partage de données utilisées par des milliers d’entreprises.
“Sans la possibilité de transférer des données à travers les frontières, Internet risque de se fragmenter en forces nationales et régionales, de restreindre l’économie mondiale et d’empêcher les citoyens de différents pays d’accéder à de nombreux services partagés sur lesquels nous pouvons compter”, a déclaré Nick Clegg, président de la division mondiale de Meta. questions, et Jennifer Newstead, directrice juridique, a déclaré dans un communiqué.
Le décision, qui est une amende record en vertu du RGPD, était attendue. Le mois dernier, Susan Li, directrice financière de Meta, a déclaré aux investisseurs qu’environ 10 % de ses revenus publicitaires mondiaux provenaient des publicités diffusées aux utilisateurs de Facebook dans les pays de l’UE. En 2022, elle avait Meta des revenus de près de 117 milliards de dollars.
Meta et d’autres entreprises comptent sur un nouvel accord sur les données entre les États-Unis et l’Union européenne pour remplacer celui annulé par les tribunaux européens en 2020. L’année dernière, le président Biden et Ursula von der Leyen, la présidente de l’Union européenne, ont annoncé la les grandes lignes de l’accord à Bruxelles, mais les détails sont encore en cours de négociation.
Meta fait face à la perspective de devoir supprimer de grandes quantités de données sur les utilisateurs de Facebook dans l’Union européenne, a déclaré Johnny Ryan, chercheur principal au Conseil irlandais pour les libertés civiles. Cela présenterait des difficultés techniques compte tenu de la nature interconnectée des sociétés Internet.
“Il est difficile de voir comment il peut se conformer à cette ordonnance”, a déclaré M. Ryan, qui a fait pression pour des politiques de protection des données plus strictes.
La décision contre Meta intervient presque exactement à l’occasion du cinquième anniversaire du RGPD. Il s’agissait à l’origine d’une loi modèle sur la protection de la vie privée, mais de nombreux groupes de la société civile et militants de la protection de la vie privée ont déclaré qu’elle n’avait pas tenu ses promesses en raison d’une application insuffisante.
Une grande partie des critiques s’est concentrée sur la disposition, qui oblige les régulateurs du pays où une entreprise est basée dans l’Union européenne à appliquer une loi de grande envergure sur la protection de la vie privée. L’Irlande, qui abrite les sièges régionaux de Meta, TikTok, Twitter, Apple et Microsoft, a fait l’objet d’un examen minutieux.
Lundi, les autorités irlandaises ont déclaré qu’elles avaient été annulées par un conseil composé de représentants des pays de l’UE. Le conseil a insisté sur une amende de 1,2 milliard d’euros et a forcé Meta à examiner les données antérieures collectées sur les utilisateurs, ce qui pourrait inclure la suppression.
“L’amende sans précédent est un signal fort aux organisations que les infractions graves ont des conséquences considérables”, a déclaré Andrea Jelínková, président du Comité européen de la protection des données, l’organe de l’UE qui a infligé l’amende.
Meta a été une cible fréquente des régulateurs dans le cadre du GDPR En janvier, la société a été condamnée à une amende de 390 millions d’euros pour avoir forcé les utilisateurs à accepter des publicités personnalisées comme condition d’utilisation de Facebook. En novembre, il a été condamné à une amende supplémentaire de 265 millions d’euros pour une violation de données.