Dix ans de litige avec Meta
Le message est clair : les règles européennes sont faites pour être appliquées, y compris voire surtout par un géant américain du Web. Le gendarme de la protection des données irlandais vient en effet de condamner Meta à 1,2 milliard d’euros d’amende pour le transfert illégal de données d’utilisateurs européens vers les États-Unis.
« Nous sommes heureux de voir cette décision après dix ans de litige », a réagi Max Schrems, juriste autrichien, à l’origine de l’action. Cet utilisateur de Facebook avait porté plainte contre Meta, du fait que les données recueillies par Facebook Ireland étaient transférées aux États-Unis, et donc soumises notamment au Cloud Act, donnant de larges pouvoirs de contrôle et d’accès à la NSA.
Suspendre tout transfert de données personnelles
« L’amende aurait pu être beaucoup plus élevée, étant donné que l’amende maximale est supérieure à quatre milliards et que Meta a sciemment enfreint la loi pour faire du profit pendant dix ans », a estimé le juriste dans un communiqué de NOYB, l’association de défense de la vie privée dont il est à l’origine. « Sauf surveillance américaine les lois sont fixées, Meta devra restructurer fondamentalement ses systèmes. » De son côté, le géant américaine a annoncé faire appel, dénonçant une amende « injustifiée et inutile ».
Les violations du RGPD par Meta étaient à la fois graves et avérées, puisque les transferts de données étaient systématiques, répétitifs et continus. Et ce malgré l’invalidation du Privacy Shield entre les deux continents. Depuis l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD) il y a maintenant cinq ans, jamais une société n’avait été condamnée à une amende d’un tel montant. La DPA a par ailleurs ordonné à Meta de « suspendre tout transfert de données personnelles vers les États-Unis dans les cinq mois » suivant la notification de sa décision et de se mettre en conformité avec le RGPD dans les six mois.