Données personnelles : Meta écope d'une amende record d'1,2 milliard d'euros en Europe

L'agence de protection des données irlandaise (DPA) n’y va pas de main morte. Meta a été condamnée à payer 1,2 milliard d'euros pour avoir continué le transfert de données d'utilisateurs européens de Facebook vers des serveurs localisés aux États-Unis, après l'invalidation d'un accord entre les deux zones géographiques, connu sous le nom de « Privacy Shield ». C’est la première fois qu’une société est condamnée à une telle amende depuis l’entrée en vigueur du réglement européen sur la protection des données personnelles (RGPD), il y cinq ans.

La DPA ordonne aussi à Meta de « suspendre tout transfert de données personnelles vers les États-Unis dans les cinq mois » suivant la notification de sa décision et de se mettre en conformité avec le RGPD dans les six mois. Dénonçant une amende « injustifiée et inutile », l’entreprise va faire appel en justice.

Max Schrems, utilisateur de Facebook et juriste autrichien, est à l’origine de cette procédure. Il avait porté plainte contre Meta estimant que ses données recueillies par Facebook Ireland étaient, une fois transférées à Facebook Inc. aux États-Unis, à la merci des lois locales en vigueur, comme celles sur la surveillance des communications électroniques, ou le Cloud Act, qui donne de larges pouvoirs à l'Agence nationale de la sécurité américaine (NSA).

Il s'agit d'un « sérieux coup porté à Meta », a réagi dans un communiqué NOYB, l'association de défense de la vie privée de Max Schrems. Les violations du RGPD par Meta « sont très graves puisqu'il s'agit de transferts systématiques, répétitifs et continus », a réagi dans un communiqué Andrea Jelinek, présidente de l'EDPB (la réunion des CNIL de l'UE).