Meta condamné à une amende record de 1,2 milliard d’euros par le régulateur irlandais pour avoir enfreint les règles européennes de confidentialité – The Irish Times

Le régulateur irlandais des données a infligé une amende record de 1,2 milliard d’euros au propriétaire de Facebook, Meta, pour avoir enfreint les règles européennes en matière de confidentialité, dans le cadre d’une mesure qui porte le total des sanctions contre l’entreprise à plus de 2 milliards d’euros.

La sanction prononcée lundi par la commissaire à la protection des données Helen Dixon fait suite à une longue enquête sur les transferts par Facebook de données personnelles d’Européens vers les États-Unis.

Elle n’avait pas proposé de sanction pécuniaire contre Meta dans son projet de décision initial dans l’affaire, mais avait été “instruite” par d’imposer une amende après un processus de règlement des différends au Comité européen de la protection des données, l’organe de près de 50 régulateurs de données nationaux et régionaux qui doit approuver toute sanction transfrontalière pour violation de données.

Le géant des médias sociaux a reçu l’ordre de suspendre tout futur transfert de données dans les cinq mois et de cesser dans les six mois le “traitement illégal, y compris le stockage, aux États-Unis” des données européennes transférées en violation du droit de l’UE.

Il s’agit de la plus lourde sanction depuis que Mme Dixon a assumé de nouveaux pouvoirs en 2018 pour superviser les opérations paneuropéennes de grandes entreprises technologiques telles que Meta, qui a son siège européen à Dublin et est l’un des plus gros contribuables de l’État.

Elle est responsable des enquêtes sur les violations présumées par de grands groupes technologiques du règlement général sur la protection des données (RGPD) de l’UE, qui a été présenté comme un facteur de changement dans la volonté de contrôler la façon dont les entreprises utilisent les informations personnelles des consommateurs.

[ Meta challenges DPC’s €265m fine over third-party data ‘scrape’ ]

La dernière amende est la sixième sanction majeure du RGPD contre Meta et ses filiales en Irlande, dont les cinq premières ont coûté au groupe un peu plus d’un milliard d’euros. Parce qu’il a fait appel des amendes précédentes devant la Haute Cour, Meta est considéré comme susceptible de faire appel de la nouvelle sanction.

Cette amende porte le total cumulé des amendes Big Tech infligées par le DPC à Meta à plus de 2,5 milliards d’euros.

Meta Ireland a été reconnu coupable d’avoir violé le RGPD en continuant à transférer des données personnelles de l’UE vers les États-Unis après un jugement contre de tels transferts devant la plus haute juridiction européenne.

Meta avait mis à jour ses dispositions après la décision, mais Mme Dixon a constaté que la société “n’avait pas abordé les risques pour les droits et libertés fondamentaux des personnes concernées” qui avaient été identifiés par la Cour européenne de justice.

Nick Clegg, responsable des affaires mondiales de Meta, a déclaré que la société était “déçue d’avoir été pointée du doigt” pour avoir utilisé ce qu’il a décrit comme le “même mécanisme juridique” que des milliers d’autres groupes fournissant des services en Europe.

“Cette décision est erronée, injustifiée et crée un dangereux précédent pour les innombrables autres entreprises transférant des données entre l’UE et les États-Unis”, a déclaré M. Clegg.

Mme Dixon a été critiquée par les militants de la protection de la vie privée pour la lenteur avec laquelle elle a mené des enquêtes sur les médias sociaux, dont beaucoup ont été retardées en raison de différends avec les régulateurs européens au sujet des sanctions.

Elle a toujours rejeté de telles plaintes, accusant les critiques d'”écrémage superficiel de la surface” et d'”exagération”.

[ Cantillon: Meta’s latest €5.5m fine hardly a slap in the face ]

Mme Dixon a rendu un projet de décision dans la dernière affaire en juillet dernier, mais la résolution finale a de nouveau été retardée par des divisions au sein du comité européen de la protection des données (EDPB) à Bruxelles.

Andrea Jelinek, présidente de l’EDPB, a déclaré que le conseil avait estimé que l’infraction Meta était “très grave” car elle concerne des transferts systématiques, répétitifs et continus. “Facebook compte des millions d’utilisateurs en Europe, donc le volume de données personnelles transférées est énorme. L’amende sans précédent est un signal fort pour les organisations que les infractions graves ont des conséquences considérables.

Dans un communiqué publié lundi, Mme Dixon a déclaré que quatre des 47 régulateurs européens s’opposaient au “pouvoir correctif” qu’elle proposait dans le projet.

« Tous les quatre[…]ont estimé que Meta Ireland devait être passible d’une amende administrative pour l’infraction constatée. Deux d’entre eux … ont également estimé que Meta Ireland devrait être condamnée à prendre des mesures pour traiter les données personnelles qui avaient déjà été illégalement transférées aux États-Unis, c’est-à-dire les données transférées de juillet 2020 à aujourd’hui », a déclaré le régulateur irlandais.

“La Commission de protection des données n’était pas d’accord, reflétant son point de vue selon lequel l’exercice de pouvoirs correctifs supplémentaires, au-delà de l’ordonnance de suspension proposée, dépasserait l’étendue des pouvoirs qui pourraient être décrits comme étant” appropriés, proportionnés et nécessaires “pour remédier à l’infraction.”

Cela a conduit à un processus de règlement des différends de l’EDPB qui s’est conclu par l’imposition de la nouvelle amende lundi.

En novembre dernier, Mme Dixon a infligé une amende de 265 millions d’euros à Meta après qu’un ensemble « rassemblé » de données personnelles Facebook ait été mis à disposition sur Internet. Cette amende est intervenue après une sanction de 405 millions d’euros en septembre 2022 pour violation de la vie privée des enfants sur le service Instagram de Meta, une amende de 17 millions d’euros contre Meta en mars 2022 pour 12 violations de données et une amende de 225 millions d’euros en septembre 2021 contre l’unité WhatsApp de Meta pour atteintes « graves » à la vie privée.

En janvier, le bureau de Mme Dixon a infligé une amende de 210 millions d’euros à Facebook pour des violations distinctes du RGPD et de 180 millions d’euros pour des violations de sa plateforme Instagram.