accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Transfert de données UE-USA : amende historique de 1,2 Md€ pour Facebook à la suite d'une décision contraignante du CEPD

AAI
CEPD, communiqué, 22 mai 2023 (Meta - Facebook)
Karine LESCURE Rédaction Lexis Veille
[23.05.2023]

Meta Platforms Ireland Limited (Meta IE) s'est vu infliger une amende de 1,2 milliard d'euros à la suite d'une enquête sur son service Facebook menée par l'Autorité irlandaise de protection des données (IE DPC). Cette amende, la plus importante amende pour violation du RGPD jamais prononcée, concerne les transferts de données personnelles des utilisateurs européens de Facebook vers les États-Unis sur la base de clauses contractuelles types depuis juillet 2020. La société a en outre été sommée de mettre ses transferts de données en conformité avec le RGPD.

L'IE DPC constate, dans sa décision finale du 12 mai 2023, que Meta IE a enfreint l'article 46 (1) du RGPD en continuant à transférer des données à caractère personnel de l'UE/EEE vers les États-Unis après le prononcé de l'arrêt « Schrems II » de la CJUE du 16 juillet 2020. Bien que Meta IE ait effectué ces transferts sur la base des clauses contractuelles types mises à jour (« CSC ») adoptées par la Commission européenne en juin 2021 en conjonction avec des mesures supplémentaires mises en œuvre par la société, l'IE DPC a considéré que ces dispositions ne répondaient pas aux risques pour les libertés et droits fondamentaux des personnes concernées identifiés par la CJUE dans son arrêt.

Cette décision finale intègre l'appréciation juridique exprimée par le CEPD dans sa décision contraignante du 13 avril 2023 adoptée après que l'IE DPA, en tant qu'autorité de contrôle chef de file, a déclenché une procédure de règlement des litiges concernant les objections de plusieurs autorités de contrôle concernées (ASC) qui visaient à inclure une amende administrative et/ou une injonction complémentaire de mise en conformité des traitements dans le projet de décision de l'IE DPC en date du 6 juillet 2022.

Dans sa décision contraignante le CEPD a en effet chargé le régulateur irlandais de modifier son projet en ce sens et d'infliger une amende à Meta IE. Compte tenu de la gravité de l'infraction, le CEPD a estimé que le montant de l'amende devait être compris entre 20 % et 100 % du maximum légal applicable. Le CEPD a également demandé au régulateur irlandais d'ordonner à Meta IE de mettre les opérations de traitement en conformité avec le chapitre V du RGPD, en cessant le traitement illicite, y compris le stockage, aux États-Unis des données personnelles des utilisateurs européens transférées en violation du RGPD, dans un délai de 6 mois après notification de la décision finale du régulateur irlandais.

Marquant son désaccord avec la décision du CEPD quant à l'exercice de pouvoirs correctifs supplémentaires qui, au-delà de l'ordonnance de suspension qu'elle proposait, dépasserait l'étendue des pouvoirs qui pourraient être décrits comme étant "appropriés, proportionnés et nécessaires" pour remédier à la violation de l'article 46 (1) RGPD, c'est donc contrainte et forcée que l'IE DPC a rendu sa décision finale le 12 mai 2023 :

  • ordonnant Meta IE à suspendre tout transfert futur de données personnelles vers les États-Unis dans un délai de 5 mois à compter de la date de notification de sa décision ;

  • prononçant une amende administrative d'un montant de 1,2 Md€ à son encontre (reflétant la décision du CEPD selon laquelle une amende administrative devait être infligée, pour sanctionner l'infraction constatée ;

  • ordonnant Meta IE à mettre ses opérations de traitement en conformité avec le chapitre V du RGPD, en cessant le traitement illégal, y compris le stockage, aux États-Unis des données personnelles des utilisateurs européens transférés en violation du RGPD, dans les 6 mois suivant la date de notification de la décision.

Dans un communiqué du 22 mai 2023, Meta IE annonce son intention de faire appel de cette décision, « y compris de l'amende injustifiée et inutile », et de demander auprès des tribunaux la suspension des ordonnances rendues compte tenu du préjudice que ces ordonnances causeraient, notamment aux millions de personnes qui utilisent Facebook au quotidien, même si pour l'heure il n'y a pas de perturbation immédiate du service en Europe. La société souligne que des milliers d'entreprises et d'organisations comptent sur la capacité de transférer des données entre l'UE et les États-Unis pour exploiter et fournir des services quotidiens en ligne et estime qu'il existe un conflit de droit fondamental entre les règles du gouvernement américain sur l'accès aux données et les droits européens à la confidentialité, que les décideurs politiques devraient résoudre cet été par la mise en place du nouveau cadre transatlantique pour la protection des données personnelles.