1,2 milliard d'euros d'amende au titre du GDPR pour Meta concernant la surveillance de masse aux États-Unis. La décision a nécessité 10 ans et 3 procédures judiciaires contre le DPC irlandais.
Aujourd'hui, une affaire longue de dix ans (2013 - 2023) sur l'implication de Meta dans la surveillance de masse américaine a abouti à une première décision directe. Meta doit cesser tout transfert de données personnelles européennes vers les États-Unis, étant donné que Meta est soumis aux lois de surveillance américaines (comme la FISA 702). L'EDPB avait largement annulé la décision du DPC irlandais, en insistant sur une amende record et sur le fait que les données précédemment transférées devaient être ramenées dans l'UE.
- De nombreux médias ayant brisé l'embargo du DPC pour 12h00 CET, les informations suivantes ne sont plus soumises à l'embargo
- Communiqué de presse du DPC irlandais
- Décision de l'EDPB dans l'affaire
Un coup dur pour Meta. Depuis les révélations d'Edward Snowden sur l'aide apportée par les grandes entreprises technologiques américaines à l'appareil de surveillance de masse de la NSA, Facebook (aujourd'hui Meta) a fait l'objet d'une procédure judiciaire en Irlande. Pendant dix ans, Meta n'a pris aucune précaution matérielle, mais a simplement ignoré la Cour de justice de l'Union européenne (CJUE) et le Comité européen de la protection des données (CEPD). Aujourd'hui, Meta doit non seulement payer une amende record de 1,2 milliard d'euros, mais aussi restituer toutes les données personnelles à ses centres de données de l'UE.
Max Schrems :"Nous sommes heureux de cette décision après dix ans de procédure. L'amende aurait pu être beaucoup plus élevée, étant donné que l'amende maximale est de plus de 4 milliards d'euros et que Meta a sciemment enfreint la loi pour réaliser des bénéfices pendant dix ans. À moins que les lois américaines sur la surveillance ne soient modifiées, Meta devra restructurer fondamentalement ses systèmes
La loi FISA 702 doit être réautorisée. Le conflit actuel entre les lois européennes sur la protection de la vie privée et les lois américaines sur la surveillance constitue également un problème pour tous les autres grands fournisseurs américains de services en nuage, tels que Microsoft, Google ou Amazon. La loi américaine sur la surveillance (FISA 702) doit être réautorisée d'ici décembre 2023. L'appétit pour des changements matériels pourrait être plus grand pour les grandes entreprises technologiques américaines, maintenant qu'il y a la première amende importante des autorités de protection des données de l'UE. De nombreuses décisions de France, L'Italie et de l Autriche ont jugé illégale l'utilisation des services américains, mais n'ont pas infligé d'amende importante.
Max Schrems :"La solution la plus simple consisterait à imposer des limites raisonnables à la législation américaine en matière de surveillance. Des deux côtés de l'Atlantique, on s'accorde à dire qu'il faut une cause probable et une autorisation judiciaire pour la surveillance. Il serait temps d'accorder ces protections de base aux clients européens des fournisseurs américains de services en ligne. Tout autre grand fournisseur américain d'informatique dématérialisée, tel qu'Amazon, Google ou Microsoft, pourrait faire l'objet d'une décision similaire en vertu du droit européen
Violations passées - il est peu probable que l'appel aboutisse. Nous nous attendons à ce que Meta fasse appel auprès de la Cour irlandaise et potentiellement de la Cour européenne, mais les chances de voir cette décision matériellement renversée sont faibles : La CJUE a déjà décidé qu'il n'y avait pas de base juridique valable pour les transferts de données entre l'UE et les États-Unis dans deux affaires entre 2007 et 2023. Il n'y a pas non plus de possibilité pour un nouvel accord de légaliser des violations antérieures de la loi.
Max Schrems :"Meta fera appel de cette décision, mais il n'y a aucune chance réelle de la faire annuler. Les violations passées ne peuvent pas être surmontées par un nouvel accord entre l'UE et les États-Unis. Meta peut au mieux retarder un peu le paiement de l'amende."
Transferts futurs : Les espoirs de Meta de conclure un nouvel accord entre l'UE et les États-Unis ne sont pas assurés. Pour tous les transferts futurs, Meta espère maintenant passer à un nouvel accord de transfert de données entre l'UE et les États-Unis. Ce nouvel accord a déjà fait l'objet de critiques sévères de la part du Parlement européenmais il entrera probablement en vigueur après l'été. Ces espoirs pourraient toutefois être bientôt anéantis. Il n'est pas improbable que le nouvel accord soit invalidé par la CJUE, tout comme les deux précédents accords de transfert de données entre l'UE et les États-Unis ("Privacy Shield" et "Safe Harbor"). De telles invalidations ont un effet rétroactif.
Max Schrems :"Meta prévoit de s'appuyer sur le nouvel accord pour les transferts à venir, mais il ne s'agit probablement pas d'une solution permanente. Àmon avis, le nouvel accord a peut-être dix pour cent de chances de ne pas être invalidé par la CJUE. À moins que les lois américaines sur la surveillance ne soient modifiées, Meta devra probablement conserver les données de l'UE dans l'UE
Dix ans, trois procédures judiciaires et des millions de dollars de frais de justice. Le rôle de la DPC irlandaise dans cette procédure est exceptionnel, car elle a toujours essayé d'empêcher l'affaire d'avancer. En 2013, elle a rejeté la plainte initiale en la qualifiant de "frivole", ce qui a obligé M. Schrems à aller jusqu'à la CJUE. La DPC a ensuite estimé qu'elle ne pouvait pas agir, étant donné que Meta utilisait ce que l'on appelle des "clauses contractuelles types", ce qui a été à nouveau rejeté par la CJUE, qui a dit à la DPC qu'elle devait agir. Enfin, le CPD a tenté de protéger Meta d'une amende et de la suppression des données déjà transférées, mais la décision a été annulée par l'EDPB. Au total, ces procédures ont entraîné des coûts de plus de 10 millions d'euros - l'amende sera toutefois versée à l'État irlandais.
Max Schrems : "Ilnous a fallu dix ans de procédure contre le DPC irlandais pour arriver à ce résultat. Nous avons dû engager trois procédures contre le DPC et risquer des millions de frais de procédure. L'autorité de régulation irlandaise a tout fait pour éviter cette décision, mais elle a été systématiquement déboutée par les tribunaux et les institutions européennes. Il est assez absurde que l'amende record soit infligée à l'Irlande, l'État membre de l'UE qui a tout fait pour s'assurer que cette amende ne soit pas infligée
Période de mise en œuvre, pas d'arrêt imminent des services. Précédemment, Facebook / Meta a fait courir le bruit qu'il cesserait de fournir des services en Europe. Étant donné que l'Europe est de loin la plus grande source de revenus en dehors des États-Unis et que Meta a déjà construit des centres de données locaux dans l'UE, ces annonces sont peu crédibles. La solution à long terme semble être une forme de "réseau social fédéré" où la plupart des données personnelles resteraient dans l'UE, tandis que seuls les transferts "nécessaires" se poursuivraient - par exemple lorsqu'un Européen envoie un message direct à un ami américain. Bien que Meta n'ait disposé que d'une courte période de mise en œuvre pour trouver une solution, elle connaissait la situation juridique depuis dix ans et s'était déjà vu signifier un projet de décision en 2022.
Max Schrems :"Les menaces vides de Facebook de cesser ses services en Europe sont risibles. C'est de loin le plus grand marché pour eux en dehors des États-Unis. Une option potentielle serait un réseau social "fédéré", où les données européennes resteraient dans leurs centres de données en Europe, à moins que les utilisateurs ne discutent avec un ami américain, par exemple
D'autres ligatures pourraient suivre. Action collective en cours aux Pays-Bas. En vertu d'un arrêt récent de la CJUE, les utilisateurs pourraient également être en mesure de réclamer des dommages-intérêts pour des violations moins importantes de leurs droits en matière de protection des données, par exemple en les soumettant à la surveillance de masse des États-Unis. Ceci cela des demandes d'indemnisation qui peuvent dépasser de loin les sanctions actuelles. Par exemple, l'organisation néerlandaise de défense des droits des consommateurs Consumentenbond l'organisation néerlandaise de défense des droits des consommateurs Consumentenbond recrute actuellement des utilisateurs néerlandais de Facebook pour qu'ils déposent des plaintes concernant les transferts de données entre l'UE et les États-Unis. Si les utilisateurs ne demandent pas une compensation équitable, nous ne pourrons pas ne ne verrons pas de véritable changement. Les autorités ne sont actuellement pas très actives dans l'application du GDPR, c'est pourquoi les organisations de défense des droits des consommateurs et les utilisateurs doivent agir. C'est pourquoi, J'encourage tous les utilisateurs de Facebook aux Pays-Bas à enregistrer leurs réclamations pour d'éventuels dommages et intérêts. En outre, la directive européenne sur les recours collectifs doit également être mise en œuvre cet été, ce qui permettra pour la première fois aux utilisateurs européens d'intenter des actions collectives en cas de violation du GDPR.
Max Schrems :"Cette décision pourrait conduire à des litiges civils contre Meta en Europe. Cetété, l'UE met également en œuvre un nouveau système de "recours collectif", qui peut être utilisé pour les violations du GDPR."