Une décision conséquente prononcée contre Meta
Meta fut condamnée à une très lourde amende par la Data Protection Commission (ci-après la DPC), l’équivalent de notre CNIL française (la Commission nationale de l’informatique et des libertés). Il fut en effet reproché à cette entreprise américaine d’avoir transféré des données personnelles de citoyens européens en direction des Etats-Unis. Ce qui fait de cette décision une décision remarquable réside exactement dans le montant de l’annonce qui a été prononcée, à savoir : 1,2 milliards d’euros. En outre, cette sanction constitue la plus importante de cet ordre jamais appliquée dans le cadre du droit européenne inhérent aux données personnelles. Une autre amende avait été aussi été prononcée à l’encontre d’Amazon, société également américaine, en juillet 2021. Celle-ci d’un montant également important s’élevait à 746 millions d’euros.Pourquoi la DPC a-t-elle décidé d’imposer une telle sanction à l’encontre de Meta ?
Pour comprendre cette décision, il est important de retenir qu’il lui fut reprochée d’avoir procédé au transfert de données à caractère personnel de citoyens européens utilisant le réseau social Facebook en direction des Etats-Unis. Il est ici intéressant de relever que la Cour de justice de l’Union européenne s’était déjà intéressée à cette question des transferts de données : il avait été décidé par les juges de Strasbourg que ce type de transfert n’était pas compatible avec le droit européen inhérent à la protection des données sur le territoire de l’Union européenne.On l’imagine bien, cette sanction n’a pas été du gout de Meta qui a fait savoir par l’intermédiaire de Nick Clegg, actuel responsable des affaires publiques de la société, qu’il s’agit là d’une décision non seulement « injustifiée » mais également « inutile ». Pour lui, cette décision prononcée par la DPC constitue ni plus ni moins qu’un « dangereux précédent » qui impacterait les sociétés américaines qui procèdent à ce même type de transfert aux Etats-Unis. Par ailleurs, Meta a fait savoir qu’elle avait interjeté appel de cette décision.
Pour sa part, Max Schrems, qui avait permis d’aboutir à la décision des juges de Strasbourg, le montant de cette amende aurait « aurait pu être plus [important] » compte tenu des profits tirés par Meta à l’occasion de ces transferts, rappelant que le montant maximal pouvant être prononcé est « de quatre milliards [d’euros] ». Il a cependant fait savoir qu’il est satisfait de cette décision.
Le contenu de la décision
S’intéresser à cette décision impose également de revenir sur les clauses contractuelles types. La décision en question réprouve finalement leur utilisation : il s’agit, dans la pratique, d’un mécanisme de nature juridique qui permet de transférer des données personnelles et qui, en 2021, avait été considéré comme non suffisamment protecteur pour les utilisateurs européens.La DPC a également décidé d’imposer à Meta de cesser les transferts de données des utilisateurs européens du réseau social Facebook à compter du 12 octobre 2023. En outre de quoi, elle dispose d’un délai supplémentaire d’un mois, c’est-à-dire jusqu’au 12 novembre afin de procéder au rapatriement des données ainsi collectées depuis 2020 au sein de l’Union européenne.
Notons aussi qu’il est possible que, d’ici-là, un accord organisant juridiquement ces transferts soit finalement arrêté entre l’Union européenne, sous l’égide de la Commission européenne, et le gouvernement américain.
Un possible accord dépourvu de portée juridique ?
Si des négociations ont bien lieu entre les autorités américaines et européennes concernant un tel accord, il est toutefois nécessaire de souligner le fait que celui-ci sera sans grande surprise attaqué sur le plan juridique. Les chances de voir la protection des données d’utilisateurs européens garantie résiderait plutôt dans une refonte nécessaire du droit américain en la matière ; celle-ci permettrait que ces deux droits soient compatibles (notamment eu égard au RGPD, le règlement général sur la protection des données personnelles). Au surplus, ce texte a permis au régulateur irlandais de jouer un rôle majeur en la matière puisqu’il permet l’instauration d’une porte d’entrée unique des sociétés internationales qui ont leur siège sur le territoire irlandais, où s’applique le droit de l’Union européenne. En effet, l’Irlande constitue un Etat membre très important concernant les entreprises du numérique puisque nombre d’entre elles y ont leur siège régional. La DPC pourrait donc continuer à instruire des plaintes qui seront déposées à l’encontre de ces entreprises internationales.On le voit donc, le rôle que pourra jouer la DPC dans les prochaines affaires est remarquable. Ce constat ne doit cependant pas cacher un autre constat : celui des très nombreuses critiques qui pèsent contre elle. En effet, la CNIL irlandaise est somme toute réprouvée pour ses décisions d’ordre pécuniaire et qui ne seraient pas, pour ses détracteurs, suffisamment conséquentes. Ici, il est aussi reproché à la DPC de ne pas suffisamment protéger et garantir l’utilisation des données des citoyens européens par ces grandes entreprises.
Au surplus il est utile de retenir, concernant cette décision, qu’il est revenu à l’European Data Protection Board, qui comprend l’ensemble des CNIL des Etats membres de l’Union européenne, de l’amender préalablement. Pourquoi ? Tout simplement parce que la somme initialement prévue par la DPC a été considérée comme trop peu conséquente. La DPC a également été vivement critiquée quant à sa position initiale par Max Schrems. En effet, ce dernier a déclaré que la DPC « [avait] tout fait pour éviter cette décision », soulignant cependant le caractère important et remarquable de la décision finalement prise. Et ce dernier d’ajouter qu’il est absolument déplorable que le montant de cette amende revienne exclusivement à l’Irlande alors même que cet Etat membre de l’Union européenne « a tout fait » pour que cette dernière ne soit finalement pas ordonnée.
Reste pour l’heure à s’intéresser au contenu de l’appel ainsi formé contre cette décision. Affaire à suivre, donc.
Références
https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland
https://www.lefigaro.fr/secteur/high-tech/donnees-meta-ecope-d-une-amende-record-d-1-2-milliard-d-euros-en-europe-20230522
https://www.usine-digitale.fr/article/rgpd-meta-condamne-a-une-amende-record-de-1-2-milliard-d-euros.N2134196
https://www.latribune.fr/technos-medias/rgpd-meta-condamne-a-une-amende-de-1-2-milliard-d-euros-la-plus-elevee-jamais-infligee-en-europe-963037.html