Le régulateur irlandais de protection des données (DPC) a rendu sa décision, le 22 mai dernier, sur une enquête débutée en août 2020 sur le respect de Meta du RGPD. Meta, qui rassemble Facebook, WhatsApp ou encore Instagram, s’est vu infliger une amende de 1,2 milliard d’euros et un ordre de cesser le transfert des données des Européens ver les Etats-Unis.
L’écart de législation entre les Etats-Unis et l’UE au fondement de la décision
Le Règlement général sur la protection des données de l’Union européenne, adopté en 2016, prévoit la possibilité, dans son chapitre V, d’effectuer des transferts de données vers des Etats tiers mais sous condition. Le niveau de protection des données dans le pays tiers doit être adéquat et donc proposer une sécurité équivalente des données. Or, dans l’arrêt Schrems II de juillet 2020, la Cour de justice de l’Union européenne a considéré que le régime juridique américain ne permettait pas d’assurer une protection suffisante des données au regard des normes européennes. En effet, la CJUE met principalement en avant l’accès disproportionné et incontestable des services de renseignements aux données stockées aux Etats-Unis. C’est cet arrêt qui fonde la condamnation de Meta par le DPC.
En plus de l’amende infligée, l’entreprise devra également faire cesser le transfert de données vers les Etats-Unis dans un délai de six mois et donc déplacer ou supprimer l’ensemble des données stockées aux Etats-Unis.
La nécessité d’un nouveau cadre juridique pour le transfert de données transatlantiques
Cette condamnation n’est pas la première pour Meta qui a déjà été condamné deux fois depuis le début de l’année pour non-respect du RGPD. Depuis l’entrée en vigueur du RGPD, Meta s’est déjà vu infliger 1,6 milliard d’euros d’amende pour non-respect du Règlement. En outre, cela ne concerne pas que cette entreprise, les contrôles et les procédures contre les GAFA ont augmenté et des milliers d’entreprises sont dans l’illégalité.
Pour cette raison, un nouveau cadre juridique pour le transfert des données transatlantiques a été approuvé par la Commission européenne en décembre 2022. Cette décision d’adéquation des écarts législatifs américains et européens doit permettre de garantir la protection des données à caractère personnelles européennes. Ce dernier doit être adopté avant la fin de l’année.
Meta a annoncé faire appel de la décision du régulateur irlandais et espère avoir du sursis pour attendre l’adoption du nouveau cadre juridique entre les Etats-Unis et l’Union européenne.
Plus d'Information:
Plus d’informations sont disponibles dans le communiqué de presse de Commission de protection des données irlandaise.