La Data Protection Commission, alias la Cnil irlandaise, a sanctionné Meta le 22 mai pour le transfert de données de son réseau social vers les Etats-Unis.
L’enquête avait été initialement ouverte en août 2020, puis suspendue suite à une série de procédures judiciaires, pour ensuite reprendre. Pour la Cnil irlandaise (DPC), “Meta Ireland a enfreint l’article 46, paragraphe 1, du RGPD lorsqu’elle a continué à transférer des données à caractère personnel de l’UE/EEE vers les États-Unis après le prononcé de l’arrêt de la CJUE (ndlr : Cour de justice de l’Union européenne).” Et c’est une sanction record qui est infligée à Meta, la maison mère de Facebook : 1,2 milliard d’euros pour avoir transféré ces données personnelles aux Etats-Unis.
Arrêter le stockage et les transferts
Outre cette sanction financière, Meta doit mettre ses opérations de traitement en conformité avec le RGPD. L’entreprise doit cesser “le traitement illégal, y compris le stockage, aux États-Unis des données personnelles de l’UE /Utilisateurs de l’EEE transférés en violation du RGPD, dans les 6 mois suivant la date de notification de la décision du DPC“. Et elle doit suspendre tout transfert futur de données personnelles vers les États-Unis dans un délai de cinq mois. Meta a annoncé faire appel de la décision.
Suite à l’invalidation du Privacy Shield, un dispositif juridique qui encadrait les transferts entre l’UE et les Etat-Unis, et aux “clauses contractuelles types” mises en place ensuite pour y remédier en 2021, Europe et Etats-Unis sont parvenus à un “accord de principe” conclu en mars 2022 sur un nouveau cadre pour le transfert de données transatlantique. On attend toujours sa mise en application, prévue cette année. “Bien que Meta Ireland ait effectué ces transferts sur la base des clauses contractuelles types mises à jour qui ont été adoptées par la Commission européenne en 2021 en conjonction avec des mesures supplémentaires qui ont été mises en œuvre par Meta Ireland, la DPC a constaté que ces dispositions n’adressaient pas les risques pour les libertés et droits fondamentaux des personnes concernées qui ont été identifiés par la Cour de justice de l’Union européenne dans son arrêt.“
Ce n’est pas la première fois que la Cnil irlandaise santionne Meta qui a son siège à Dublin. En 2022, cinq enquêtes concernaient Meta, amenant à autant d’amendes d’un montant total de 1,1 milliard d’euros.