L’autorité irlandaise de protection des données a infligé une amende de 1,2 milliard d’euros à Meta. Il s’agit de l’amende la plus élevée jamais infligée sur la base du RGPD. La raison en est le transfert continu de données de Meta de l’UE vers les États-Unis.
Transfert de données vers les USA
Le contexte de la sanction est le transfert persistant de données de Metas de l’UE vers les États-Unis. Dans ce cas, seule la pratique de Facebook a été prise en compte – les autres métaservices comme WhatsApp ou Instagram ne sont donc pas concernés. Le litige a débuté en 2013 à la suite d’un procès intenté par le militant autrichien pour la protection des données Max Schrems, qui estimait que les données des citoyens européens n’étaient pas suffisamment protégées aux États-Unis suite aux révélations d’Edward Snowden. Il a notamment cité comme un problème l’accès des agences de renseignement américaines aux données. En conséquence, la plus haute juridiction de l’UE a statué en 2020 que l’accord Privacy Shield entre l’UE et les États-Unis était invalide car il ne garantissait pas une protection adéquate des données personnelles aux États-Unis.
Cela signifie qu’un transfert légal de données personnelles de l’UE vers les États-Unis n’est plus possible. Cependant, Meta a continué à transférer des données pertinentes vers les États-Unis via Facebook. Étant donné que la base d’un tel transfert a cessé d’exister avec l’expiration de l’accord Privacy Shield, cela constitue une violation du RGPD.
Amende record de 1,2 milliard d’euros
L’autorité irlandaise de protection des données, qui dans le passé était plutôt hésitante et utilisait généralement ses pouvoirs discrétionnaires dans l’intérêt des entreprises défenderesses pour soutenir la politique économique irlandaise, a désormais infligé une amende record. L’amende de 1,2 milliard d’euros est la plus élevée jamais imposée sur la base du RGPD.
En plus de l’amende, Meta s’est vu imposer certaines conditions. Par exemple, l’entreprise est obligée d’arrêter le transfert de données dans un délai de cinq mois. En outre, il doit rapatrier les données déjà transférées vers l’UE dans un délai de six mois.
