L’autorité irlandaise de protection des données (DPC) a sanctionné la société META PLATFORMS (ex-FACEBOOK), car la filiale européenne du groupe (située en Irlande) en charge des traitements de données dans l’Union européenne exportait les données des utilisateurs européens vers les États-Unis sans garantir une protection équivalente au RGPD.

Les transferts de données vers les États-Unis sont problématiques depuis les révélations d’Edward Snowden, en juin 2013, sur les pratiques de surveillance de masse des États-Unis, puisque la décision autorisant les transferts de données vers les US (nommée « Safe Harbour »), adoptée par la Commission européenne en juillet 2000, a été invalidé par la CJUE en octobre 2015. La Cour avait estimé que les pratiques des États-Unis ne permettaient pas de garantir une protection adaptée des données. La seconde décision (nommée « Privacy Shield »), adoptée par la Commission européenne en février 2016, a subi le même sort en juillet 2020.

Malgré l’invalidation de cette seconde décision (d’adéquation), la filiale européenne de META a continué d’exporter les données de ses utilisateurs vers sa maison mère américaine, considérée comme un sous-traitant de la filiale au sens du RGPD. META justifiait ces transferts par l’utilisation de « clauses contractuelles types », éditées par la Commission européenne.

La DPC a toutefois jugé, comme l’avait déjà fait la CJUE, que ces clauses ne permettent pas de « compenser le niveau de protection inadapté de la législation américaine », puisqu’elles n’engagent pas les services gouvernementaux américains et ne permettent pas d’informer les utilisateurs qu’ils ont fait l’objet d’une demande (FISA), non encadrée, des services de renseignement américains.

Des mesures organisationnelles, techniques et légales étaient également mises en place par META pour tenter de compenser les pratiques de surveillance des États-Unis et s’assurer que les personnes continuent de bénéficier d’un niveau de protection « substantiellement équivalent » au RGPD, notamment :

  • l’envoi d’une notification à la filiale irlandaise lorsqu’une demande d’accès gouvernementale était reçue, « sauf si cela lui était interdit par la loi américaine » ;
  • la réalisation d’un rapport « détaillé » avec des informations et des statistiques concernant les demandes d’accès aux données des services de renseignement américain ;
  • la contestation des demandes d’accès aux données « jugées illégales » ou celles qui sont jugées « non nécessaires ou non proportionnées dans une société démocratique » ;
  • la réalisation d’activité de lobbying « pour changer la législation et promouvoir les droits des utilisateurs ».

La DPC a toutefois jugé, encore une fois, que ces mesures ne permettaient pas de compenser les « manquements de la législation américaine identifiés par la CJUE ».

Par ailleurs, la société META a indiqué sa volonté de recourir aux « dérogations » prévues par le RGPD pour continuer d’exporter les données de ses utilisateurs vers les États-Unis. La DPC a toutefois jugé que ces dérogations n’étaient pas destinées aux « transferts de données systémiques, répétitifs et de masse » vers un pays « dont la législation ne respecte pas l’essence du droit à la vie privée garanti par la charte européenne des droits fondamentaux ».

Après l’intervention de l’EDPB, une amende de 1,2 milliard d’euros a été prononcée par la DPC contre la société META PLATFORMS, ce qui représente 1 % du chiffre d’affaires[1] du groupe. La société doit également se mettre en conformité sous six mois.

Décision contraignante de l’EDPB

La DPC avait initialement pris la décision de ne pas infliger d’amende à META, mais uniquement une suspension sous six mois, si les manquements persistaient. Les autorités de protection des données d’Autriche, d’Allemagne, d’Espagne et de France (la CNIL) ont toutefois manifesté leur désaccord, car elles estimaient que :

  • une suspension seule était « insuffisante » et qu’« une amende aurait des effets punitifs, contrairement à une suspension » ;
  • une amende permettait de « sensibiliser les [autres] responsables du traitement qui transfèrent des données vers les États-Unis » et d’« éviter qu’ils en arrivent à la conclusion que le coût de la poursuite d’une pratique illégale l’emporte » ;
  • une absence d’amende « enverrait un mauvais signal » aux autres sociétés et les « inciterait à prendre en compte dans leur mise en conformité le fait que de tels manquements ne sont pas sanctionnés ».
  • une absence d’amende ne « donnerait aucune motivation à la société META de ne pas réitérer son comportement illégal ».

Les autorités ont également estimé que l’absence d’amende n’était pas une sanction « effective, proportionnée et dissuasive », et que les critères définis par le RGPD pour définir l’amende n’ont pas été correctement définis.

Les autorités ont, par conséquent, imposé à la DPC d’imposer une amende d’un montant de 1 à 4% du chiffre d’affaires de la société et de prendre en compte, lors de la définition du montant, le fait que le manquement est « particulièrement sérieux », qu’il concerne « un très grand nombre de personnes » et des « natures de données diverses, dont des catégories spéciales de données », que la durée du manquement est « longue », que la société META a fait preuve « du niveau le plus élevé de négligence » et que les services proposés par META dans l’Union européenne sont « associés de manière inextricable à une violation du RGPD ».

Ma réaction suite à cette décision

Malgré l’annulation des deux premières décisions d’adéquation, les entreprises européennes ont continué d’exporter des données vers les États-Unis, parce que les outils et sous-traitants qu’elles utilisent sont, en grande majorité, américains, et parce qu’elles n’avaient pas de réelle motivation à changer. Elles savaient que les autorités n’allaient pas appliquer cette décision de justice, à commencer par la CNIL, qui a fermé les yeux, en se battant vainement contre Google Analytics pendant quelques mois, et en espérant qu’un nouvel accord soit rapidement signé.

Toutes ces autorités, extrêmement passives et clémentes lorsqu’il s’agit de sanctionner les entreprises sur leur territoire, se sont pourtant montrées très sévères pour juger FACEBOOK, même si les arguments avancés sont très justes. Oui, un simple rappel est une sanction insuffisante. Oui, la sanction doit être dissuasive. Oui, la règlementation doit être respectée et les manquements sanctionnés. Pourquoi toutefois réserver ces arguments uniquement à FACEBOOK ? Même si FACEBOOK est le mal incarné, la société ne mérite pas d’être traitée différemment. Cela est simplement injuste. Je ne dis pas que FACEBOOK aurait dû être graciée, mais que toutes les autres sociétés qui ont continué de transférer massivement des données aux États-Unis auraient dû être sanctionnées de la même façon.

Cette sanction arrive, de toute façon, bien trop tard, puisque deux mois plus tard, une troisième décision d’adéquation avec les États-Unis a été signée par la Commission européenne. FACEBOOK ne modifiera probablement donc rien et continuera à faire comme il l’a toujours fait, jusqu’à l’annulation de la décision d’adéquation... où une procédure de plusieurs années recommencera.

Lire :

Notes et références

  1. Le groupe Meta Platforms (ex- Facebook Inc), maison de mère de la société Meta Ireland Limited, a déclaré un chiffre d’affaires de $116,61 milliards en 2022.

Sigles et acronymes

  • DPC : Data Protection Commission
  • RGPD : Règlement Général sur la Protection des Données
  • CJUE : Cour de justice de l'Union européenne
  • EDPB : European Data Protection Board
  • CNIL : Commission Nationale de l'Informatique et des Libertés