Hasard du calendrier: quasiment cinq ans jour pour jour après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), Meta s’est vu infliger lundi une amende record par la DPC, la Cnil irlandaise. Son montant: 1,2 milliard d’euros. La maison mère de Facebook, Instagram et WhatsApp est sanctionnée pour avoir continué à transférer des données personnelles aux États-Unis, malgré l’invalidation du Privacy Shield en juillet 2020. Elle dispose désormais d’un délai de cinq mois pour interrompre ces pratiques. Et d’un délai de six mois pour supprimer l’ensemble des données déjà envoyées. En pratique cependant, il est peu probable que Meta suivent ces injonctions, car un nouvel accord transatlantique doit entrer en vigueur cet été.
“Clauses contractuelles” – À l’origine de cette amende historique: la décision de la Cour de justice de l’Union européenne de retoquer le Privacy Shield, un mécanisme juridique, adopté en 2016, qui encadrait les transferts de données vers les États-Unis. Saisie par l’activiste autrichien Max Schrems, la plus haute juridiction du continent avait alors estimé que ce texte ne garantissait pas un niveau de protection suffisant dans le cadre du RGPD. Pour continuer à opérer en Europe, Meta a depuis recours à une alternative, les “clauses contractuelles types”. Si la justice européenne les avait validées, elle réclamait également un haut niveau de garanties. Ce qui n’est pas le cas sur Facebook, a estimé le Comité européen de la protection des données, qui a contraint la DPC à prononcer des sanctions.
2,5 milliards d’euros – C’est la cinquième fois que Meta est sanctionné depuis 2018, accumulant près de 2,5 milliards d’euros d’amende. La société de Menlo Park s’estime injustement ciblée, alors que d’autres grands groupes américains utilisent les mêmes “clauses contractuelles”. De fait, hormis Amazon, condamné à verser 746 millions d’euros par le régulateur luxembourgeois – le précédent record –, aucune autre entreprise a dû payer plus de 50 millions d’euros d’amende dans le cadre du RGPD. Meta a déjà annoncé son intention de faire appel de cette décision “injustifiée”, alors que l’Europe et les États-Unis doivent adopter un nouveau cadre juridique, dont les bases ont été posées l’an passé. Comme ces deux prédécesseurs, celui-ci sera très probablement attaqué devant la justice des Vingt-Sept.
Un silo pour les Européens – Cet accord prévoit de nouvelles garanties pour les citoyens européens face à la législation américaine… qui risquent de ne pas être suffisantes face au RGPD. Sans réforme plus poussée, Meta pourrait se retrouver dans la même situation dans quelques années. Le groupe, qui n’a pas l’intention de quitter l’Europe, ferait alors face un véritable casse-tête technique. Il sera probablement contraint de repenser son infrastructure, aujourd’hui basée sur un flux permanent des données personnelles, afin de créer un silo dans lequel seraient conservées celles de ses utilisateurs européens. Il devra aussi déterminer ce qui peut être considéré comme un “transfert nécessaire” et donc autorisé – par exemple, l’emploi d’un message à un ami basé aux Etats-Unis – de ce qui ne peut pas l’être.
Pour aller plus loin:
– L’Europe remet en cause les pratiques publicitaires de Facebook
– Meta encore sanctionné pour violation du RGPD
