Meta condamné à une amende record par la DPC irlandaise pour violation de données
La société Meta, la maison mère de Facebook, a été condamnée à une amende sans précédent d'un montant de 1,2 milliard d'euros par la Data Protection Commission (DPC), équivalent irlandais de la Commission nationale de l’informatique et des libertés (CNIL) en France, pour avoir violé les dispositions du RGPD. Cette amende, qui est la plus lourde jamais infligée au titre du RGPD, a bouleversé le secteur.
Pourquoi Meta s'est-il vu infliger une amende de 1,2 milliard d'euros ?
La DPC a condamné Facebook à une amende pour mauvais traitement des données des utilisateurs et violation de l'article 46, paragraphe 1, du RGPD en transférant vers les États-Unis les données de ses utilisateurs européens présents sur Facebook. La DPC a constaté que les clauses contractuelles types adéquates n'avaient pas été adoptées pour faire face aux risques liés aux droits et libertés fondamentaux des utilisateurs. Les clauses contractuelles types (ou Standard contractual clauses, dit « SCC ») sont des mécanismes juridiques établis par la Commission européenne qui contiennent des garanties permettant d'assurer la protection des données des utilisateurs, y compris lorsqu'elles sont traitées en dehors de l'Europe. Néanmoins, les experts redoutent que ces transferts n'exposent les données des citoyens européens à des lois américaines moins strictes en matière de protection de la vie privée, voire aux services de sécurité américains. En plus de cette amende, Meta doit suspendre tous les transferts de données vers les États-Unis pendant cinq mois et se mettre en conformité avec le chapitre V du RGPD.
Meta a réagi en qualifiant l'amende d' « injustifiée », estimant qu’elle a été punie pour une pratique prétendument courante parmi les multinationales. Cependant, au cours de son enquête, la DPC a constaté que Meta procédait à ce que la Commission européenne qualifie de transferts constituant des infractions systématiques, répétitives et continues aux règles du RGPD. À cet égard, l'autorité de protection des données a déclaré que cette amende sans précédent était destinée à envoyer un signal fort aux organisations quant aux conséquences du non-respect des lois européennes sur la protection des données.
Quelles sont les dispositions du RGPD que Meta a enfreintes ?
La DPC affirme que la société Meta a délibérément violé des clauses contractuelles types dans son intérêt en transférant des données d'utilisateurs européens vers les États-Unis. Bien que le transfert de données entre les deux continents soit légal lorsqu'il est effectué par l'intermédiaire de SCC, les clauses exigent toujours qu'un niveau adéquat de protection des données des utilisateurs soit assuré, y compris dans les pays tiers. Meta, par l'intermédiaire de Facebook, n'a pas respecté ce critère et s'est trouvée en infraction avec les lois sur la protection des données, en particulier l'article 46, paragraphe 1, du RGPD.
L'article 46, paragraphe 1, du RGPD dispose que « le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives ».
Il s'agit d'un sujet récurrent dans le secteur de la technologie, où la maxime « Move fast and break things » (agir vite et casser des choses) est souvent utilisée. Comme l'a souligné un membre senior du Conseil irlandais pour les libertés civiles, Meta s'est vu infliger une amende d'un milliard d'euros alors qu'elle gagne des milliards d'euros en se garant de manière illégale. La triste conclusion est que les données des utilisateurs valent beaucoup d'argent pour les entreprises technologiques et que certaines franchissent délibérément la limite pour réaliser des profits. Des amendes aussi importantes que celle infligée à Meta pourraient bien faire réfléchir certaines d'entre elles.
Quel message cette décision envoie-t-elle aux autres entreprises ?
La DPC a estimé que les infractions commises par Facebook étaient très graves et a donc voulu signaler clairement aux organisations que le non-respect des règles de protection des données peut avoir des « conséquences considérables ». Cette amende rappellera aux entreprises que les organismes de réglementation sont prêts à frapper fort en cas d'infraction aux lois sur la protection de la vie privée afin de s'assurer que leurs services sont conformes aux dispositions du RGPD.
Comment Gerrish Legal peut vous aider ?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal