Meta s'est vu infliger une amende massive de 1,2 milliard d'euros (1,3 milliard de dollars) par les régulateurs européens de la protection de la vie privée concernant le transfert de données d'utilisateurs de l'UE vers les États-Unis. Cette amende record souligne les préoccupations croissantes en matière de protection des données et de la vie privée à l'ère numérique.
L'affaire initiale remonte à une action en justice intentée par Max Schrems, militant autrichien de la protection de la vie privée, qui affirmait que le cadre de transfert des données des citoyens de l'UE vers les États-Unis ne protégeait pas les Européens de la surveillance américaine.
Plusieurs mécanismes juridiques de transfert de données personnelles entre les États-Unis et l'UE ont été contestés, la dernière version, le Privacy Shield, ayant été invalidée par la Cour de justice de l'Union européenne (CJUE), la plus haute juridiction de l'UE, en 2020.
La Commission irlandaise de protection des données, qui supervise les activités de Meta au sein de l'UE, a accusé l'entreprise d'enfreindre le règlement général sur la protection des données (RGPD) de l'Union européenne lorsqu'elle a continué à envoyer les données personnelles des citoyens européens aux États-Unis malgré la décision de la CJUE en 2020. Le GDPR, le règlement historique de l'UE sur la protection des données, est entré en vigueur en 2018 et régit les entreprises opérant au sein de l'Union.
Meta utilisait un mécanisme appelé clauses contractuelles types pour transférer des données à caractère personnel à l'intérieur et à l'extérieur de l'UE. Bien que cette méthode n'ait été bloquée par aucun tribunal de l'UE, l'organisme irlandais de surveillance des données a déclaré que les clauses, combinées à des mesures supplémentaires mises en œuvre par Meta, ne répondaient pas aux risques pour les droits et libertés fondamentaux des personnes concernées identifiés par la Cour de justice de l'Union européenne.
La Commission a lancé un ultimatum à Meta pour qu'elle interrompe tout transfert futur de données à caractère personnel vers les États-Unis dans les cinq mois suivant la date de la décision.
Cette sanction sans précédent de 1,2 milliard d'euros dépasse toutes les amendes jamais imposées pour des infractions au GDPR. La précédente amende la plus élevée était celle de 746 millions d'euros infligée au géant du commerce électronique Amazon en 2021.
Meta a déclaré son intention de faire appel de la décision et de l'amende. Dans un billet de blog publié lundi, Nick Clegg, président des affaires mondiales de Meta, et Jennifer Newstead, directrice juridique de la société, ont déclaré : "Nous faisons appel de ces décisions et demanderons immédiatement un sursis aux tribunaux, qui peuvent suspendre les délais de mise en œuvre, compte tenu du préjudice que ces ordonnances causeraient, y compris aux millions de personnes qui utilisent Facebook chaque jour.
Cette affaire a attiré l'attention sur les négociations en cours entre l'UE et Washington pour convenir d'un nouveau mécanisme de transfert de données. Bien que les États-Unis et l'UE soient parvenus à un accord préliminaire pour établir un nouveau cadre pour les transferts transfrontaliers de données l'année dernière, il n'est pas encore entré en vigueur.
Meta espère que l'accord UE-USA sur la confidentialité des données sera promulgué avant que les délais fixés par le régulateur irlandais n'entrent en vigueur. Clegg et Newstead ont déclaré : "Si le nouveau cadre entre en vigueur avant l'expiration des délais de mise en œuvre, nos services pourront continuer à fonctionner comme ils le font aujourd'hui, sans interruption ni impact sur les utilisateurs.
Cette bataille juridique en cours met en lumière les défis auxquels sont confrontées les entreprises technologiques pour naviguer dans les réglementations relatives à la protection des données et de la vie privée, y compris l'utilisation de constructeurs d'applications sans code et d'autres solutions innovantes comme AppMaster.io pour aider à rationaliser les processus de conformité et à sauvegarder les données des utilisateurs.