La semaine du 5ème anniversaire du RGPD, l'autorité irlandaise de protection des données (DPC) inflige une sanction record à Meta !
Il s'agit là de la sanction la plus importante ; Amazon détenait jusque là le record avec 746 millions d’euros infligés par le Luxembourg.
Une affaire longue d'une décennie ?
Tout commence avec les révélations d'Edward Snowden en 2013 sur l'aide apportée par les grandes entreprises technologiques américaines à l'appareil de surveillance de masse de la NSA, à la suite de quoi, Facebook (aujourd'hui Meta) a fait l'objet d'une procédure judiciaire en Irlande.
Puis, le 25 juin 2013, M. Schrems a déposé une plainte auprès du Commissaire à la protection des données irlandais. En substance, la plainte soutenait que, à la lumière de la divulgation du document Snowden, le transfert de données à caractère personnel concernant (les utilisateurs européens de Meta US) par Meta Ireland à sa société mère américaine, Meta US, était illégal en vertu du droit national et du droit européen en matière de protection des données.
Le 6 octobre 2015, la Cour de Justice de l'Union Européenne (CJUE) a rendu son arrêt : en vertu du droit de l'Union européenne, la décision Safe Harbour était invalide.
Une décision d’adéquation est ensuite adoptée par la Commission européenne en 2016, permettant le transfert de données entre l’Union européenne et les opérateurs américains : naissance du Privacy Shield.
En 2020, la CJUE a invalidé la décision d’adéquation Privacy Shield.
Notre article au sujet de la décision de la CJUE de 2020 et l'invalidation du Privacy Shield
Qu'en est-il des années qui ont poursuivi l'invalidation du Privacy Shield ?
Est-ce que Meta (et tous les autres acteurs américains) ont pu poursuivre des transferts de données entre l'Union européenne et les Etats Unis ?
Mais alors sur quel fondement est basé ces transferts ?
L'utilisation abusive des clauses contractuelles types
Afin de poursuivre les transferts de données, Meta se base sur les clauses contractuelles types.
Le recours à ces clauses contractuelles types depuis 2020 est considéré comme non suffisamment protecteur au regard de la décision rendue par le CJUE en 2020.
Dans cette décision, la CJUE a considéré que l'accès aux données d'utilisateurs de l'Union européenne par les services américains de sécurité n'était pas compatible avec la législation européenne en matière de protection des données personnelles.
Effectivement, la Cour invalide le Privacy Shield, sur lequel s’appuyaient des milliers d’entreprises américaines pour transférer légalement des données personnelles de l’Union vers les Etats-Unis, mais confirme la validité de principe des Clauses Contractuelles Types (CCT) tout en indiquant que leur efficacité pour transférer légalement des données devra être analysée au cas par cas pour chaque transfert.
Visitez notre article au sujet de la décision de la CJUE de 2020 et les CCT
Ainsi, la Cour indique des obligations spécifiques à l'exportateur et l'importateur, l’objectif demeurant de vérifier que les données transférées sont traitées conformément aux droits fondamentaux garantis par la Charte.
En pratique, les exportateurs de données européens devront évaluer si le destinataire étranger (notamment les filiales, les sociétés mères et les prestataires de services tiers) est capable de satisfaire aux exigences des CCT ;
Si tel n’est pas le cas, l’exportateur de données ne pourra pas conclure de CCT ou devra suspendre voire résilier le contrat.
Par conséquent, une analyse au cas par cas doit être réalisée prenant en considération les circonstances de chaque transfert.
Un des éléments à prendre en considération dans l’établissement valable d’un transfert de données sur la base des CTT sera de déterminer si les données personnelles concernées font l’objet ou sont susceptibles de faire l’objet d’une collecte massive de données par les autorités américaines ou encore par les agences de sécurité nationales selon la loi de surveillance « Foreign Intelligence Surveillance Act » (FISA) ou les décrets et directives stratégiques présidentiels (Executive Orders et Presidential Policy directives).
En l’espèce, il est reproché à la société américaine d’effectuer des transferts de masse de données d’utilisateurs européens vers les Etats-Unis, sans apporter de garanties suffisantes vis-à-vis des pratiques américaines en matière de surveillance des données personnelles et des règlementations susmentionnées.
À moins que les lois américaines sur la surveillance ne soient modifiées, Meta devra restructurer fondamentalement ses systèmes.
Une sanction record en réponse au comportement de META
Cette décision a été rendue avec l’appui de l’European Data Protection Board, qui avait amendé la décision initiale, jugeant le montant de la sanction trop faible.
Effectivement, l'EDPB relève que les facteurs pris en considération, au regard de l'article 46 (1) et 83(2) du RGPD, sont d'une gravité élevée et enjoint à en tenir compte en ce qui concerne le montant de l'amende administrative :
- la gravité de l'infraction, compte tenu de la portée particulièrement large du traitement et du nombre très élevé de personnes concernées, ainsi que de la longue durée de l'infraction, qui est toujours en cours
- que Meta IE a commis l'infraction à l'article 46, paragraphe 1, avec au moins le plus haut degré de négligence (article 83, paragraphe 2, point b), du RGPD).
- que Meta IE porte un degré élevé de responsabilité (article 83, paragraphe 2, point d), du RGPD)
- qu'un grand nombre de catégories de données à caractère personnel sont concernées par la violation, notamment les données à caractère personnel couvertes par l'article 9 du RGPD (article 83, paragraphe 2, point g), du RGPD)
- que la conception du service FB de Meta IE l'empêche de fournir ce service dans l'UE/EEE sans les transferts internationaux de FB - considérés comme une violation du RGPD - ce qui suggère qu'une partie considérable de ses bénéfices tirés de la fourniture du service dans l'UE proviennent de la violation du RGPD (Article 83(2)(k) RGPD)
L'EDPB était également pour l'inclusion d'une ordonnance enjoignant à Meta IE de mettre les opérations de traitement en conformité avec le chapitre V du RGPD, en cessant le traitement illicite, y compris le stockage, aux États-Unis de données à caractère personnel d'utilisateurs de l'EEE transférées en violation du RGPD, dans un délai de 6 mois à compter de la date de la notification de la décision finale de l'autorité.
Finalement, l’autorité de contrôle irlandaise de protection des données a infligé une sanction de 1.2 milliard d’euros à META pour non-conformité au RGPD en matière de transfert des données hors de l’Union européenne.
De plus, META a jusqu’au 12 octobre 2023 pour cesser de baser les transferts de données depuis l’Union européenne sur les CCT actuelles.
Enfin, META doit supprimer ou rapatrier dans l’Union européenne les données transférées aux Etats Unis depuis 2020.
Cette décision n’est pas sans reste pour tous les autres grands fournisseurs américains d’informatique dématérialisée tel que Amazon, Microsoft ou encore Google qui pourraient faire l’objet d’une décision similaire.
A l’aune de la célébration des 5 ans du RGPD, cette sanction rappelle l’importance du respect de la règlementation sur la protection des données.
Un nouvel accord entre l’Union européenne et les Etats-Unis devrait voir le jour en 2023, celui-ci a déjà fait l’objet de vives critiques et pourrait amener à de nouvelles affaires telle que celle étudiée en l’espèce.
Pour autant, un tel accord pourrait permettre d'en dégager des lignes directrices pour les entreprises, et des garanties suffisantes pour les personnes concernées.