Actualité
4 min de lecture
26 juin 2023
A la suite du règlement des différends contraignant du CEPD, la filiale de Meta écope d'une sanction de 1,2 milliards d’euros d’amende.

La sanction est tombée le 12 mai 2023 : l’autorité irlandaise a condamné la société Meta (Meta Plateforms Ireland Limited) à une amende de 1,2 milliards d’euros avec l’obligation de cesser de transférer (dans un délai maximum de 12 semaines) et de traiter (dans un délai maximum de 6 mois) les données des résidents de l’UE/EEE transférées illégalement vers les États-Unis. Les données devront dès lors soit être supprimées, soit être déplacées vers l’Europe. Pour l’autorité irlandaise, l’utilisation par la société Meta de clauses contractuelles types et de mesures supplémentaires n’est pas propre à répondre aux risques que les transferts de données vers les États-Unis font peser sur les droits et libertés des personnes concernées.

Cette décision est le fruit d’une longue procédure ayant nécessité l’intervention du Comité européen de la protection des données (CEPD), dans le cadre de la procédure dite du mécanisme de la cohérence.

L’autorité irlandaise, en tant qu’autorité chef de file, avait soumis un projet de décision aux différentes autorités concernées le 6 juillet 2022 dans laquelle elle concluait à la violation de l’article 46, §1 du Règlement général sur la protection des données sur des modalités de transferts de données moyennant des garanties appropriées et, par conséquence, à la suspension des flux de données (Règl. (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016 : JOUE n° L 119, 4 mai, ou RGPD).

Objections

Des objections furent soulevées par plusieurs autorités nationales concernées afin, d’une part, que soit prononcée une amende administrative à l’égard de la société Meta et, d’autre part, que des mesures soient prises pour les données qui ont déjà été transférées illégalement vers les États-Unis depuis la décision Schrems II de la Cour de justice de l’Union européenne (Décision d’invalidation du bouclier de protection des données UE-US dénommé Privacy Shield ; CJUE, 16 juill. 2020, n° C-311/18). En l’absence de consensus, le CEPD a été saisi dans le cadre d’une procédure de règlement des litiges de l’article 65, §1, a) du RGPD. Il a rendu sa décision contraignante le 13 avril 2023.

Nécessité d’une amende administrative et d’une mise en conformité pour les données déjà transférées

Sur la question de savoir si une amende administrative devait être prononcée, le CEPD a clairement répondu par l’affirmative. L’autorité irlandaise n’avait donc pas d’autre choix que de condamner la société Meta à une telle amende. Pour justifier sa décision, le CEPD a pris en compte la gravité de la violation, au regard en particulier du nombre de traitements et de personnes concernés, de l’éventail des données traitées dont certaines sont des données sensibles ainsi que de la durée de la violation. Le comité note que « la société, en n'appliquant pas le bon test pour déterminer l'adéquation des mesures supplémentaires prises en application de l’article 46 du RGPD, malgré l’exigence selon laquelle les garanties appropriées à prendre par le responsable du traitement doivent « compenser » le manque de protection des données dans le pays tiers, la société Meta a manqué à son devoir de diligence et a agi avec le plus haut degré de négligence » (point 113). Pour lui, la société supporte une grande responsabilité dans les violations commises, qui lui ont permis, qui plus est, de tirer une partie considérable de ses bénéfices. Pour ces raisons, il considère que l’amende devrait se situer entre 20 et 100% du montant total maximal applicable. La condamnation par l’autorité irlandaise à un montant record n’est donc pas surprenante.

Sur la question des données transférées depuis la décision Schrems II et stockées aux États-Unis, la décision du CEPD est là encore très claire. Il charge l’autorité irlandaise d’inclure dans sa décision finale l’obligation pour la société Meta de mettre les traitements en conformité avec le RGPD (chapitre V).

Cette affaire remet une fois de plus en lumière les difficultés liées aux transferts de données vers les États-Unis. Aucun des outils prévus dans le RGPD ne semble à même d’assurer un niveau de protection adéquat des données transférées outre-Atlantique alors que les services utilisés quotidiennement par les personnes situées dans l’Union européenne impliquent de tels transferts. Le même problème avait par exemple été soulevé devant les autorités autrichiennes, italienne et française pour l’utilisation de Google Analytics.

La meilleure stratégie en la matière est peut-être celle choisie par la société Meta : attendre que le projet de décision d’adéquation publié par la Commission européenne en décembre 2022 soit adopté, afin d’avoir une assise juridique pour les transferts de données vers les États-Unis, même si cette assise peut finalement se révéler limitée dans le temps, avec une éventuelle nouvelle intervention de la Cour de justice de l’Union européenne…

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica EYNARD, Maître de conférences HDR en droit à l’Université de Toulouse Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
CEPD, décision contraignante n° 01/2023, 13 avr. 2023
edpb.europa.eu
DPC, délib. n° IN-20-8-1, 13 avr. 2023
edpb.europa.eu
Aller plus loin
Mémento Concurrence Consommation
Ce Mémento vous donne les armes pour vous défendre contre vos concurrents, mais aussi pour promouvoir votre activité en respectant la loi
185,00 € TTC
Mémento Concurrence Consommation
Autres articles sur le même thème
Le CEPD annonce sa stratégie 2024-2027
Droit des affaires
Protection des données personnelles (RGPD)
Le CEPD annonce sa stratégie 2024-2027
25 avr. 2024
« Pay or okay »  : le CEPD remet en cause les modèles des plateformes en ligne
Droit des affaires
Protection des données personnelles (RGPD)
« Pay or okay »  : le CEPD remet en cause les modèles des plateformes en ligne
19 avr. 2024
Vente aux enchères de données à caractère personnel : clarifications de la CJUE dans le secteur de la publicité et du marketing digital
Droit des affaires
Protection des données personnelles (RGPD)
Vente aux enchères de données à caractère personnel : clarifications de la CJUE dans le secteur de la publicité et du marketing digital
19 avr. 2024
  2. Droit des affaires
Trouvez rapidement et gratuitement une réponse fiable à votre question juridique
www.lefebvre-dalloz.fr
formation.lefebvre-dalloz.fr
Nous contacter
Nos sites édition
www.dalloz.fr
www.efl.fr
www.editions-legislatives.fr
Mentions légales
CGU
politique de confidentialité
Paramétrage des cookies
© Éditions Francis Lefebvre, 2024
© Éditions Législatives, 2024
© Éditions Dalloz, 2024