Meta condamné à une amende record de 1,3 milliard de dollars et sommé de cesser d’envoyer aux États-Unis les données d’utilisateurs européens
Ce qui pourrait nuire à l’activité de Facebook.
Meta est condamné à une amende colossale de 1,3 milliard de dollars par la Commission irlandaise de protection (DPC) des données pour atteinte à la vie privée et pour avoir envoyé les données personnelles des utilisateurs européens de Facebook aux États-Unis. La DPC ordonne également à Meta de cesser les transferts de données outre-Atlantique. La décision est un coup dur pour le modèle économique de Meta qui est essentiellement basé sur les données. Elle met également la pression sur Washington pour qu’il mette en œuvre des changements en matière de surveillance pour l’Europe afin de permettre à Meta de garder le robinet des données ouvert.
L’affaire s’inscrit dans le cadre des révélations faites en 2013 par Edward Snowden, l’ancien contractant de l’Agence nationale de sécurité (NSA) des États-Unis, qui a révélé que les autorités américaines avaient accédé à de nombreuses reprises aux informations des citoyens par le biais d’entreprises technologiques telles que Facebook et Google. Max Schrems, un militant autrichien de la protection de la vie privée, a alors intenté une action en justice contre Facebook pour ne pas avoir protégé ses droits à la vie privée. Il a déclenché ainsi une bataille de dix ans sur la légalité du transfert des données personnelles des internautes basés dans l’UE vers les États-Unis.
Facebook et les autres géants de la Silicon Valley s’appuient sur ce qu’ils appellent les clauses contractuelles types (standard contractual clauses – SCC) pour transférer les données personnelles des Européens de l’autre côté de l’Atlantique. Cependant, la Cour de justice de l’Union européenne (CJUE) a déclaré à plusieurs reprises que les États-Unis n’avaient pas mis en place des contrôles suffisants pour protéger les informations personnelles des Européens. Washington a récemment déclaré avoir pris de nouvelles mesures visant à faire en sorte que les agences de renseignement américaines respecteront les nouvelles règles régissant l’accès à ces données.
Mais cela ne convainc pas les autorités européennes. La DPC a déclaré lundi que la poursuite des transferts de données du géant des réseaux sociaux vers les États-Unis ne répondait pas aux « risques pour les droits et libertés fondamentaux » des personnes dont les données étaient transférées de l’autre côté de l’Atlantique. L’amende de 1,2 milliard d’euros infligée à Meta aujourd’hui devient la plus importante sanction prononcée depuis l’entrée en vigueur, il y a cinq ans, du régime strict de protection des données de l’UE (RGPD). Elle éclipse en effet l’amende de 746 millions d’euros infligée à Amazon en 2021 pour violation de la protection des données.
En plus de l’amende, Meta s’est vu accorder cinq mois pour « suspendre tout transfert futur de données à caractère personnel vers les États-Unis » et six mois pour cesser « le traitement illégal, y compris le stockage, aux États-Unis » des données à caractère personnel transférées depuis l’UE. La décision s’applique aux données des utilisateurs telles que les noms, les adresses email et IP, les messages privés, l’historique de visualisation, les données de géolocalisation et d’autres informations que Meta – et d’autres géants de la technologie comme Google – utilisent pour des publicités ciblées en ligne. La décision peut s’avérer très délicate pour Meta et Facebook.
C’est la dernière étape d’une longue saga qui a fini par plonger Facebook et des milliers d’autres entreprises dans un vide juridique. En 2020, les juges européens ont annulé une décision de l’UE (le Privacy Shield) réglementant les flux de données transatlantiques. Si les juges n’ont pas annulé les clauses contractuelles, les doutes sur la protection des données aux États-Unis ont conduit à une ordonnance préliminaire de la DPC informant Facebook qu’il ne pouvait plus transférer de données vers les États-Unis par cette autre méthode non plus. L’interdiction des transferts de données était largement attendue, ce qui a incité Meta à menacer de se retirer totalement de l’UE.
Dans un article paru en 2020, Nick Clegg, le responsable politique de Meta, a déclaré que la suspension des transferts de données sur la base de clauses contractuelles types (SCC) pourrait avoir « un effet considérable sur les entreprises qui s’appuient sur ces outils et sur les services en ligne dont dépendent beaucoup de personnes et d’entreprises ». Dans ses derniers résultats trimestriels, Meta a déclaré qu’en l’absence de ces clauses ou d’autres moyens alternatifs de transfert de données, elle serait « probablement dans l’incapacité d’offrir un certain nombre de ses produits et services les plus importants, y compris Facebook et Instagram, en Europe ».
Avant l’annonce de la sanction, Johnny Ryan, membre du Conseil irlandais pour les libertés civiles et militant pour une meilleure protection des données personnelles des internautes, a déclaré qu’une amende ne serait pas suffisante si Facebook ne modifiait pas fondamentalement son modèle d’entreprise basé sur les données des utilisateurs. « Une contravention d’un milliard d’euros est sans conséquence pour une entreprise qui gagne beaucoup plus de milliards en se garant illégalement », a-t-il déclaré. Le régulateur irlandais de la protection des données a infligé à Meta une amende totale de près d’un milliard d’euros depuis septembre 2021.
En novembre, Meta a été condamné à une amende de 265 millions d’euros par l’organisme de surveillance après une violation qui a entraîné la publication en ligne des données de plus de 500 millions d’utilisateurs. Cette amende est intervenue quelques semaines après une précédente amende de plus de 405 millions d’euros infligée à Meta pour avoir laissé des adolescents créer des comptes Instagram affichant publiquement leurs numéros de téléphone et leurs adresses électroniques. Dans le cadre de la sanction prononcée ce lundi, la DPC a ordonné à Meta d’effacer toutes les données transférées illégalement vers des serveurs aux États-Unis.
Selon Ryan, cela pourrait être un problème plus important que l’amende. « Cet ordre de suppression des données est un véritable casse-tête pour Meta. Si l’entreprise doit effacer les données de centaines de millions d’utilisateurs de l’UE sur une période de dix ans, il est très difficile de voir comment elle pourra se conformer à cette ordonnance », a déclaré Ryan. Meta a déclaré qu’il ferait appel de la décision, la qualifiant « d’imparfaite » et « d’injustifiée ». L’entreprise a ajouté qu’elle va demander la suspension « immédiate » des ordonnances d’interdiction, estimant qu’elles porteraient préjudice aux « millions de personnes qui utilisent Facebook tous les jours ».
« Les restrictions au transfert de données risquent de diviser Internet en silos nationaux et régionaux, restreindre l’économie mondiale et empêcher les citoyens de différents pays d’accéder à de nombreux services partagés sur lesquels nous comptons », ont écrit Nick Clegg, président des affaires mondiales de Meta, et Jennifer Newstead, directrice des affaires juridiques, dans un billet de blogue. L’entreprise devra déposer son recours en Irlande et la décision finale pourrait prendre des mois, voire des années. L’appel d’Amazon concernant son amende de 746 millions d’euros au titre du RGPD est toujours en cours devant les tribunaux luxembourgeois.
La sanction contre Meta coïncide avec le cinquième anniversaire du RGPD, largement considéré comme une référence mondiale. Depuis son entrée en vigueur le 25 mai 2018, les régulateurs des 27 pays membres de l’UE ont le pouvoir d’infliger des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel d’une entreprise pour les violations les plus graves de la législation. L’organisme de surveillance irlandais s’est transformé du jour au lendemain en principal régulateur de la protection de la vie privée pour certaines des plus grandes entreprises technologiques ayant une base européenne dans le pays, telles que Meta Apple, Amazon et Snap.
Cette situation a donné lieu à des tensions au fil des ans, la responsable irlandaise de la protection de la vie privée, Helen Dixon, devant faire face à des critiques incessantes selon lesquelles son service serait trop lent ou trop laxiste. Dans un premier temps, la DPC n’avait pas prévu d’infliger une amende, la jugeant « disproportionnée ». « Cette amende ne doit pas faire oublier que le RGPD pose encore de gros problèmes », a déclaré Johannes Caspar, un universitaire qui était auparavant l’un des principaux régulateurs allemands en matière de données. Selon lui, la CJUE a rendu des décisions claires « qui auraient dû être appliquées depuis longtemps ».
Bruxelles et Washington négocient actuellement un nouvel accord sur les transferts de données transatlantiques. Cet accord, dont les termes sont encore inconnus du public, aurait déjà fait l’objet d’un accord au niveau politique. Les analystes estiment que toute suspension serait vidée de son sens si les États-Unis et l’UE mettaient en œuvre ce nouvel accord. Mais Schrems a prédit que Meta n’avait « aucune chance réelle » d’obtenir une annulation matérielle de la décision. Il ajoute qu’un nouveau pacte de protection de la vie privée pourrait ne pas signifier la fin des problèmes de Meta, car il y a de fortes chances qu’il soit rejeté par la CJUE.
« Meta prévoit de s’appuyer sur le nouvel accord pour les transferts à venir, mais il ne s’agit probablement pas d’une solution permanente. À moins que les lois américaines sur la surveillance ne soient modifiées, Meta devra probablement conserver les données de l’UE dans l’UE », a déclaré Schrems dans un communiqué. Il a ajouté qu’une solution possible pourrait être un réseau social « fédéré », où les données européennes resteraient dans les centres de données de Meta en Europe, « à moins qu’un utilisateur ne discute avec un ami américain ».
Lire aussi : Meta face à une crise de confiance après de nouvelles vagues de licenciements
Sources : Developpez – Commission irlandaise de protection des données, Meta
