La capacité de transporter des données au-delà des frontières est essentielle au fonctionnement de l’internet mondial ouvert. La libre circulation des données est à la base de nombreux services sur lesquels nous comptons, qu’il s’agisse de services bancaires, de télécommunications ou de services publics cruciaux tels que les soins de santé et l’éducation. Des centaines d’entreprises et d’autres organisations dépendent de la capacité à transférer des données entre l’UE et les États-Unis pour fonctionner et fournir des services dont les consommateurs dépendent au quotidien.
Sans la capacité de transporter des données au-delà des frontières, l’internet risque d’être divisé en silos nationaux et régionaux, ce qui limiterait l’économie mondiale et empêcherait les résidents d’autres pays d’accéder à de nombreux services communs sur lesquels nous comptons. C’est pourquoi, depuis de nombreuses années, la mise en place d’un cadre juridique solide pour la transmission des données entre l’UE et les États-Unis est une priorité politique des deux côtés de l’Atlantique.
Le 22 mai 2023, Méta, la société mère de Facebook, a été condamnée à une amende record de 1,3 milliard de dollars (1,2 milliard d’euros) et s’est vu ordonner par la Commission irlandaise de protection des données (DPC) de suspendre tous les transferts de données de l’Union européenne (UE) vers les États-Unis.
Pourquoi Facebook se voit-il infliger une amende ?
Selon la DPC, le géant des médias sociaux n’a pas tenu compte d’un avertissement de la Haute Cour visant à protéger les données des utilisateurs contre les agences de renseignement américaines une fois qu’elles ont été envoyées vers des serveurs situés outre-Atlantique.
La commission a également accusé Méta de poursuivre les transferts de données vers les États-Unis tout en ne tenant pas compte des “dangers pour les droits et libertés fondamentaux” des personnes dont les données étaient transférées vers les États-Unis. Depuis 2020, la DPC examine le transfert par Méta Ireland de données personnelles de l’UE vers les États-Unis.
Le CPD avait préparé un projet de décision daté du 6 juillet 2022. En particulier, il a été constaté que :
-
Le transfert de données en question a eu lieu en violation de l’article 46, paragraphe 1, du RGPD.
-
Le transfert de données devrait être interrompu dans de telles situations.
Le géant des médias sociaux s’est vu accorder cinq mois pour “mettre fin à tout transfert futur de données à caractère personnel vers les États-Unis” et six mois pour cesser “le traitement illégal, y compris le stockage, aux États-Unis” des données personnelles transmises par l’UE.
UE concernant l’amende Méta
Selon le Conseil européen de la protection des données (EDPB), la violation présumée de la vie privée a donné lieu à la “plus grosse amende jamais infligée” en vertu du RGPD de l’UE.
Après cette révélation, Andrea Jelinek, présidente du Comité européen de la protection des données (EDPB), a déclaré que la violation de Facebook était “extrêmement grave puisqu’elle couvre des transferts qui sont systématiques, récurrents et continus”.
M. Jelinek a ajouté que “le volume de données personnelles transférées est énorme”, car Facebook compte des millions d’utilisateurs en Europe. L’énorme amende envoie un message clair aux entreprises : les violations importantes ont des répercussions considérables”.
Après un processus de consultation informel, le EDPB a rendu sa décision le 13 avril 2023. Conformément à son obligation de prendre une décision finale “sur la base” de la décision de l’EDPB, la décision du DPC du 12 mai 2023 documente que le DPC exerce les pouvoirs de réparation suivants :
-
Commandes en vertu de l’article 58, paragraphe 2, point (j) du RGPD. Demande à Meta Ireland de suspendre les futurs transferts de données personnelles vers les États-Unis pendant une période de 5 mois à compter de la date de notification de la décision du DPC à Meta Ireland.
-
Amende administrative de 1,2 milliard d’euros reflétant la décision de l’EDPB selon laquelle des sanctions administratives devraient être imposées pour les violations découvertes.
-
Une ordonnance en vertu de l’article 58(2)(d) du RGPD pour arrêter le traitement illégal, y compris le stockage des données personnelles de l’UE des utilisateurs américains transférées à Meta Ireland, exemptant ainsi ses opérations de traitement, oblige Meta Ireland à se conformer au chapitre. ioler le RGPD dans les 6 mois à compter de la date de notification de la décision de la DPC.