La société mère de Facebook, Meta, a été condamnée à une amende record de 1,3 milliard de dollars par les régulateurs de la protection des données de l’Union européenne pour avoir transféré les données personnelles des utilisateurs de la région vers les États-Unis.
Dans une décision contraignante prise par le Comité européen de la protection des données (EDPB), le géant des médias sociaux a été sommé de mettre ses transferts de données en conformité avec le RGPD et de supprimer les données stockées et traitées illégalement dans un délai de six mois.
De plus, Meta s’est vu accorder cinq mois pour suspendre tout transfert futur des données des utilisateurs de Facebook vers les États-Unis. Instagram et WhatsApp, qui appartiennent également à la société, ne sont pas soumis à l’ordonnance.
« L’EDPB a constaté que l’infraction de Meta IE est très grave car elle concerne des transferts systématiques, répétitifs et continus », a déclaré Andrea Jelinek, présidente de l’EDPB, a dit dans un rapport.
« Facebook compte des millions d’utilisateurs en Europe, de sorte que le volume de données personnelles transférées est énorme. L’amende sans précédent est un signal fort aux organisations que les infractions graves ont des conséquences considérables. »
Les autorités européennes de protection des données ont souligné à plusieurs reprises l’absence de protections de la vie privée équivalentes à celles du RGPD aux États-Unis, permettant potentiellement aux services de renseignement américains d’accéder aux données appartenant aux Européens en raison de leur transfert vers des serveurs situés aux États-Unis.
Le décision découle d’un plainte légale déposé par le militant autrichien de la vie privée Maximilian Schrems, le fondateur de NOYB, il y a près de dix ans en juin 2013 sur préoccupations que les données des utilisateurs de l’UE ne sont pas suffisamment protégées des agences de renseignement américaines lorsqu’elles sont transférées outre-Atlantique.
« La solution la plus simple serait des limitations raisonnables dans la loi américaine sur la surveillance », a déclaré Schrems. a dit. « De part et d’autre de l’Atlantique, il est entendu que nous avons besoin d’une cause probable et d’une approbation judiciaire pour la surveillance.
« Il serait temps d’accorder ces protections de base aux clients européens des fournisseurs de cloud américains. Tout autre grand fournisseur de cloud américain, comme Amazon, Google ou Microsoft, pourrait faire l’objet d’une décision similaire en vertu du droit de l’UE. »
« Meta prévoit de s’appuyer sur le nouvel accord pour les transferts à l’avenir, mais ce n’est probablement pas une solution permanente », a ajouté Schrems. « À mon avis, le nouvel accord a peut-être dix pour cent de chances de ne pas être tué par la CJUE. À moins que les lois américaines sur la surveillance ne soient corrigées, Meta devra probablement conserver les données de l’UE dans l’UE. »
Schrems a également accusé la Commission irlandaise de protection des données (DPC) d’avoir constamment tenté d’empêcher l’affaire d’aller de l’avant et d’essayer d’empêcher Meta d’être giflé d’une amende et d’avoir à supprimer les données qui ont déjà été transférées, dont les deux dernières ont annulée par le CEPD.
Meta, en réponse, a déclaré qu’il avait l’intention de faire appel de la décision, qualifiant l’amende « d’injustifiée et inutile » et qu’il existe un « conflit de loi fondamental » entre les règles du gouvernement américain sur l’accès aux données et les droits européens à la vie privée.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
« Sans la possibilité de transférer des données à travers les frontières, Internet risque d’être divisé en silos nationaux et régionaux, restreignant l’économie mondiale et laissant les citoyens de différents pays incapables d’accéder à de nombreux services partagés sur lesquels nous comptons », a déclaré Nick de Meta. Clegg et Jennifer Newstead a dit.
L’année dernière, la société a averti que si elle devait suspendre les transferts vers les États-Unis, elle pourrait devoir cesser d’offrir « un certain nombre de nos produits et services les plus importants » dans l’UE. Selon le Wall Street Journal, un nouvel accord de transfert de données transatlantique devrait être finalisé en remplacement du Bouclier de confidentialité Plus tard cette année.
L’amende constitue la plus importante jamais infligée en vertu des lois européennes sur la protection de la vie privée GDPR, éclipsant l’amende de 746 millions d’euros (886,6 millions de dollars à l’époque) précédemment infligée à Amazon en juillet 2021 pour des violations similaires de la vie privée.
Le développement marque également la troisième sanction pécuniaire prononcée par le DPC cette année seulement. En janvier, le chien de garde a infligé une amende de 390 millions d’euros pour sa mauvaise gestion des informations des utilisateurs pour diffuser des publicités sur Facebook et Instagram.
Deux semaines plus tard, elle a été condamnée à une amende de 5,5 millions d’euros pour avoir enfreint les lois sur la protection des données en obligeant ses utilisateurs à « consentir au traitement de leurs données personnelles pour l’amélioration et la sécurité du service » et « en subordonnant l’accessibilité de ses services à l’acceptation par les utilisateurs des conditions mises à jour. de service. »
