Meta vient de recevoir une amende record en Europe de 1,2 milliard d'euros pour infraction au RGPD pour la transmission de données personnelles d'utilisateurs de Facebook européens vers les États-Unis.
Bien que réticente, la Commission à la protection des données de l’Irlande (en anglais, Data Protection Commission, DPC, la CNIL Irlandaise) a dû se résoudre à suivre l'avis [PDF] du Comité européen de la protection des données (CEPD, ou EDPB en anglais, qui regroupe les CNIL européennes) et signifier à Meta que l'entreprise devrait payer une amende d'1,2 milliard d'euros.
Ce montant est exceptionnel pour une infraction au RGPD, dépassant largement les 746 millions d'euros qu'avait dû payer Amazon en juillet 2021 pour des traitements d’analyse comportementale et de ciblage publicitaire. Son annonce tombe aussi quelques jours avant l'anniversaire des cinq ans de l'entrée en vigueur du RGPD.
En plus de cette amende, Meta doit suspendre tout transfert de données personnelles vers les États-Unis d'ici le 12 octobre et rapatrier vers des datacenters situées en Europe toutes les données personnelles d'utilisateurs européens collectées depuis 2020 avant le 12 novembre.
Bouclier cassé
Ici, nul problème de traitements des données, mais plutôt de leur circulation en dehors du territoire de l'Union européenne après l'invalidation du Privacy Shield par la justice européenne suite à l'affaire dite « Schrems II ».
Et c'est, de fait, la suite de toute la procédure contre Facebook menée par l'autrichien Max Schrems et son association noyb, après les révélations d'Edward Snowden.
L'activiste a obligé les autorités européennes chargées de la protection des données à se pencher sur le transfert des données des utilisateurs européens de Facebook vers les États-Unis, déclenchant les affaires dites « Schrems I » déclenchée en 2013 puis « Schrems II » en 2020.
- La Cour de justice de l’Union européenne annule le Privacy Shield
- Retour sur l'invalidation du Privacy Shield par la justice européenne
Dans un communiqué publié sur le site de noyb, Max Schrems déclare que « nous sommes heureux de cette décision après dix ans de procédure. L'amende aurait pu être beaucoup plus élevée, étant donné que l'amende maximale est de plus de 4 milliards et que Meta a sciemment enfreint la loi pour réaliser des bénéfices pendant dix ans. À moins que les lois américaines sur la surveillance ne soient modifiées, Meta devra restructurer fondamentalement ses systèmes. »
Une autorité irlandaise toujours aussi réfractaire
Si cette décision a été prise, au final, par la DPC irlandaise, celle-ci ne l'a pas fait de gaieté de cœur. L'Irlande hébergeant la plupart des filiales européennes des GAFAM et faisant tout pour les garder sur son territoire, sa commission chargée de la protection des données est souvent réticente à leur infliger des remontrances et encore plus à leur faire payer des amendes.
Dans son communiqué de presse, la DPC ne se gêne pas (et ce n'est pas la première fois) pour expliquer que sa décision était beaucoup plus clémente envers Meta mais qu'elle a été contrainte d'être beaucoup plus sévère par une décision prise par le Comité européen de la protection des données, le 13 avril dernier.
Discussions en cours entre l'UE et les États-Unis
Dans le communiqué de noyb, Max Schrems précise que celle-ci s'appliquera « à moins que les lois américaines sur la surveillance ne soient modifiées », car c'est ce qui pourrait se passer. Des discussions sont en cours entre l'Union européenne et les États-Unis pour permettre une compatibilité des législations sur les données personnelles des deux côtés de l'Atlantique.
En mars dernier, le CEPD se félicitait « des améliorations apportées par le cadre de protection de la vie privée des données entre l'UE et les États-Unis », mais soulignait que « des inquiétudes subsistent » encore.
- Schrems II : le Comité européen de la protection des données se félicite de la proposition états-unienne
- Schrems II : comment les États-Unis veulent encadrer la « collecte en vrac » des données des Européens
Sans attendre la conclusion de ces discussions, Meta a annoncé faire appel de la décision européenne en son encontre et va demander sa suspension « étant donné le préjudice que ces ordonnances causeraient, y compris aux millions de personnes qui utilisent Facebook chaque jour ».
Commentaires (25)
#1
Merde, j’ai déjà fini mon pot de popcorn. Je cours en acheter un autre pour suivre la suite.
#2
L’amende c’est rien pour meta, violer la loi leur a rapporté bien plus. C’est juste une ligne comptable déjà provisionné pour eux.
La seul info intéressante c’est ça :
“En plus de cette amende, Meta doit suspendre tout transfert de données personnelles vers les États-Unis d’ici le 12 octobre et rapatrier vers des datacenters situées en Europe toutes les données personnelles d’utilisateurs européens collectées depuis 2020 avant le 12 novembre.”
Si il n’ont pas anticipé, je ne vois pas comment ils respecteront le délai.
#2.1
1,2 milliards, amha, ça commence à n’être pas rien, même pour Meta.
Bravo! Des nouvelles comme celles-ci me font plaisir :)
#2.2
Autant sur une prune à 2 ou 3 millions d’euros je serais d’accord avec ce constat cynique mais réaliste, autant 1.3 milliards ça commence à faire beaucoup.
Si j’en crois Wikipedia, Meta Inc a fait 116 milliards de dollars de CA en 2022 pour 23 de bénéfice net (en baisse d’ailleurs). Vu qu’une amende, in fine, ça vient grignoter les revenus de l’entreprise, perdre 1.3 sur 23 ça commence à se voir dans une comptabilité et faire grincer des dents je pense.
#2.3
Surtout comparé à la CNIL irlandaise; n’est pas Flock ?
https://www.nextinpact.com/article/71687/la-cnil-vous-accompagne-par-flock
PS: Ha tien les liens directs vers les images fonctionnent même en navigation privée
https://cdnx.nextinpact.com/data-next/image/bd/173227.png
#3
Voilà effectivement une bonne nouvelle, même si une amende plus salée aurait été encore mieux.
#4
Même si l’amende aurait pu être plus élevée, on est dans le cas de figure où ce sont les 4% ou 20 millions d’euros du CA mondial qui se sont appliqués vu que ce sont les articles 44 à 49 du chapitre V du RGPD qui ont été concernés (transferts des données dans un pays tiers). Les USA n’étant pas reconnus comme “pays adéquat” par l’UE, ça pique.
Un bon rappel quand je vois des projets qui ignorent (par ignorance principalement, hélas) le risque que peut encourir l’entreprise quand ils choisissent des solutions hébergées aux USA et qui manipulent de la donnée personnelle. Et quand on les bloque, on déclenche la guerre.
#5
Trop bien \o/
ah ?
heu… ok.
Bon, bref, comme d’hab quoi.
#5.1
Oui, l’Etat de droits c’est chiant car on peut faire appel d’une sanction.
#6
(la suspension de la sanction ce n’est pas obligatoire. D’ailleurs, en France, le recours devant une juridiction administrative n’est pas suspensif)
Mon commentaire c’est plutôt pour faire remarquer qu’il y a une probabilité non nulle que FB ne paye jamais les 1.2 milliard d’euros.
#6.1
Oui ils vont jouer la montre et faire durer, comme Microsoft l’a fait en son temps.
Facebook, et depuis Meta Inc., a toujours démontré n’avoir rien à faire des réglementations et son comportement cynique n’est pas une nouveauté.
A titre personnel je considère que les amendes c’est pas intéressant. Une interdiction d’exercer dans l’UE et l’EEA aussi longtemps que l’entreprise ne se conforme pas à la législation, pour moi c’est nécessaire dans ce genre de cas.
#7
Petite remarque intéressante :
Class action enters the room! Let’s do it
#8
je me demande vu les sommes concernée jusqu’à quel point Max Schrems prend des risques dans cette histoire. bravo à lui en tout cas.
#9
Le plus hallucinant je trouve, c’est que l’amende va être versée à la DPC (CNIL Irlandaise), alors que celle-ci a tout fait pour éviter que Meta soit condamné…
#9.1
Donc ils donneront certainement 1,2 milliards à Meta pour diverses raisons obscures…
#10
Sauf que l’on parle d’une amande pour 10ans de fraude !
Ca ne fait plus que 130 million/an et donc négligeable au vu des 23 milliard de 2022 par exemple !
#11
C’est le fonctionnement du RGPD, l’autorité du pays d’établissement du responsable du traitement est en charge du sujet. C’est chiant de voir l’Irlande aussi peu coopérative, mais c’est le résultat d’une économie principalement basée sur l’accueil de multinationales étrangères. Je ne vois pas comment ils arriveront à s’en affranchir un jour et malheureusement ces entreprises vont en profiter le plus possible.
Aussi longtemps que la fiscalité dans l’UE ne sera pas harmonisée (ce qui est une utopie à mon sens), ce genre de situation se reproduira je pense.
Même à crédit, à l’instant T, le bénéfice a morflé d’un coup. Et comme il est en baisse, j’ai des doutes que ça fasse plaisir à l’entreprise. Même si dans tous les cas ils vont jouer la montre pour retarder l’échéance.
D’où ma remarque en #12.
#12
La différence de fiscalité s’explique dans un but de privilégier les économies périphériques de l’union, vis à vis des grosse économies centrales. On ne fait pas n’importe quoi avec la fiscalité en Europe pour éviter des distorsions de concurrence entre les pays, mais les pays à l’économie plus faible peuvent justifier d’une fiscalité plus accommodante pour favoriser leur développement.
#13
« étant donné le préjudice que ces ordonnances causeraient, y compris aux millions de personnes qui utilisent Facebook chaque jour »
Ce serait quoi le fameux préjudice subis par les utilisateurs ?
Je vois assez mal les conséquences possibles.
#14
Aujourd’hui Meta permet tout de même à pas mal de PME de faire de la communication/visibilité à bas prix ; nombreux sont les commerces qui n’ont pas de site web mais simplement une page ou un profil instagram.
Je pense aussi ici aux multiples groupes Facebook etc. qui servent régulièrement à des millions de personnes.
Ca n’est pas indépassable mais si Fb fermait du jour au lendemain ça mettrai pas mal de groupes/asso/communautés/etc. dans la panade
#14.1
Étrange qu’il ne soit pas précisé “aux utilisateurs européens”.
Mais merci pour ta réponse. 😉
#15
Rassure toi, si Facebook disparaissait, d’autres, peut-être plus vertueux (ou pas), prendrait sa place immédiatement.
#15.1
Pluzun, le Web a horreur du vide. Et aujourd’hui Facebook est considéré comme le “réseau des vieux” en perte de vitesse au profit de TikTok. Même si évidemment il est pas encore sur le déclin, force est de constater que sa place est menacée par de nouveaux acteurs.
Ces entreprises sont des colosses aux pieds d’argile.
#15.2
Je n’en doute pas ! D’où la mention “Ca n’est pas indépassable” et bien sur que les communautés se reformeront sur d’autres outils/plateformes mais cela aura tout de même un effet important à court terme.
Je navigue dans de nombreux territoires éloignés du numérique (en métropole ou en outre-mer) et ce que je relevais dans mon commentaire est issu de ces expériences. Historiquement basé en grande agglo, j’ai moi même été étonné des pratiques numériques dans ces territoires.
Souvent même les petites administrations (mairies de village, etc) utilisent Facebook et/ou Instagram comme seul moyen de communication numérique auprès de leurs administrés (et c’est le cas de nombreux petits commerces).
Espérons comme tu l’évoques que des outils moins privateurs prennent la place de Meta
#16
Pour ceux qui peuvent soutenir noyb.eu voici le lien où aller.