L’Union européenne a infligé à Meta une amende record de 1,3 milliard de dollars lundi et lui a ordonné de cesser de transférer les données des utilisateurs à travers l’Atlantique d’ici octobre, la dernière salve d’une affaire d’une décennie décrétée par les craintes de cyberespionnage américain.
La sanction de 1,2 milliard d’euros est la plus importante depuis l’entrée en vigueur du régime strict de confidentialité des données de l’UE il y a cinq ans, dépassant l’amende de 746 millions d’euros d’Amazon en 2021 pour violation de la protection des données.
Meta, qui avait précédemment averti que les services pour ses utilisateurs en Europe pourraient être coupés, s’est engagé à faire appel et à demander aux tribunaux de suspendre immédiatement la décision.
« Il n’y a pas de perturbation immédiate de Facebook en Europe », a déclaré la société.
« Cette décision est imparfaite, injustifiée et un dangereux précédent pour les innombrables autres entreprises qui transfèrent des données entre l’UE et les États-Unis », a déclaré Nick Clegg, président des affaires mondiales de Meta, et directeur juridique Jennifer Newstead dans un communiqué.
C’est encore un autre rebondissement dans une bataille juridique qui a commencé en 2013 lorsque l’avocat autrichien et militant de la vie privée Max Schrems a déposé une plainte concernant le traitement de ses données par Facebook à la suite des révélations de l’ancien sous-traitant de la National Security Agency, Edward Snowden, sur la surveillance électronique par les agences de sécurité américaines. Cela démontre la révélation que Facebook a donné aux agences l’accès aux données personnelles des Européens.
La saga a mis évidence en le conflit entre Washington et Bruxelles sur les différences entre la vision stricte de l’Europe sur la confidentialité des données et le régime relativement laxiste aux États-Unis, qui n’a pas de loi fédérale sur la confidentialité. L’UE a été un leader mondial dans la maîtrise du pouvoir des Big Tech avec une série de réglementations les obligeant à surveiller plus strictement leurs plaques-formes et à protéger les informations personnelles des utilisateurs.
Un accord couvrant les transferts de données entre l’UE et les États-Unis, connu sous le nom de Privacy Shield, a été annulé en 2020 par le plus haut tribunal de l’UE, qui a déclaré qu’il n’en faisait pas assez pour protéger les résidents des indiscrétions électroniques du gouvernement américain. La décision de lundi a confirmé qu’un autre outil pour régir les transferts de données – les contrats juridiques boursiers – était également invalide.
Bruxelles et Washington ont signé l’année dernière un accord sur un bouclier de protection des données retravaillées que Meta pourrait utiliser, mais le pacte attend une décision des responsables européens sur la protection adéquate de la confidentialité des données.
Les institutions de l’UE ont examiné l’accord et les réclamants du bloc ont appelé ce mois-ci à des améliorations, affirmant que les garanties ne sont pas assez solides.
La Commission irlandaise de protection des données a annulé l’amendement en tant que principal régulateur de la confidentialité de Meta dans le bloc des 27 pays, car le siège européen du géant technologique de la Silicon Valley est basé à Dublin.
Le chien de garde irlandais a déclaré qu’il avait donné à Meta cinq mois pour cesser d’envoyer des données d’utilisateurs européens aux États-Unis et six mois pour mettre ses opérations de données en conformité « en cessant le traitement illégal, y comprend le stockage, aux États-Unis » des données personnelles des utilisateurs européens inférieurs en violation des règles de confidentialité du bloc.
Si le nouvel accord transatlantique de confidentialité entre en vigueur avant ces délais, « nos services pourront continuer comme ils le font aujourd’hui sans aucune interruption ni impact sur les utilisateurs », a déclaré Meta.
Schrems a prédit que Meta n’avait « aucune chance réelle » de faire renverser matériellement la décision. Et un nouveau pacte de confidentialité pourrait ne pas signifier la fin des problèmes de Meta, car il y a de fortes chances qu’il soit rejeté par le plus haut tribunal de l’UE, at-il déclaré.
« Méta prévoir de s’appuyer sur le nouvel accord pour les transferts à venir, mais ce n’est probablement pas une solution permanente », a déclaré Schrems dans un communiqué. « À moins que les lois américaines sur la surveillance ne soient corrigées, Meta devra probablement conserver les données de l’UE dans l’UE. »
Meta a averti dans son dernier rapport sur les résultats que sans base légale pour les transferts de données, elle serait obligée de cesser d’offrir ses produits et services en Europe, « ce qui affecterait certainement et négativement nos activités, notre situation financière et nos résultats d’exploitation ».
La société de médias sociaux pourrait devoir procéder à une refonte nécessaire et complexe de ses opérations si elle est obligée de cesser d’expédier les données des utilisateurs à travers l’Atlantique. Meta dispose d’une flotte de 21 centres de données, selon son site Web, mais 17 d’entre eux se trouvent aux États-Unis. Trois autres se trouvent dans les nations européennes du Danemark, de l’Irlande et de la Suède. Un autre est à Singapour.
D’autres géants des médias sociaux subissent des pressions sur leurs pratiques en matière de données. TikTok a tenté d’apaiser les craintes occidentales concernant les risques potentiels de cybersécurité de l’application chinoise de partage de courtes vidéos avec un projet de 1,5 milliard de dollars pour stocker les données des utilisateurs américains sur les serveurs Oracle.