Meta, maison mère de Facebook, doit s’acquitter d’une amende de 1,2 milliard d’euros à la suite d’une décision contraignante de l’EDPB, l’European Data Protection Board ou appelé CEPD en français, le Comité européen de la protection des données.
L’Autorité irlandaise se voit forcer la main par l’Europe
L’EDPD inflige cette amende à la suite d’une enquête sur le service Facebook menée par l’Autorité irlandaise de protection des données. L’Autorité irlandaise se voit forcer la main en ce qui concerne les sanctions à infliger à Meta.
Cette amende est la plus importante jamais imposée dans le cadre du RGPD. Elle a été infligée suite aux transferts de données personnelles de Meta vers les États-Unis effectués en employant les clauses contractuelles types (Standard Contractuel Clauses ou SCC) depuis le 16 juillet 2020. De plus, Meta doit mettre ses transferts de données en conformité avec le RGPD.
Des transferts systématiques, répétitifs et continus
« L’EDPB a constaté que l’infraction de Meta est très grave puisqu’elle concerne des transferts systématiques, répétitifs et continus » explique Andrea Jelinek, présidente de l’EDPB. « Facebook compte des millions d’utilisateurs en Europe, le volume de données personnelles transférées est donc énorme. L’amende sans précédent est un signal fort pour les organisations que les infractions graves ont des conséquences considérables » poursuit-elle.
Une décision contraignante a été prise le 13 avril 2023 par le CEPD. C’est le CEPD qui a demandé à l’autorité irlandaise de modifier son projet de décision et d’infliger une amende à Meta. Le CEPD souligne qu’il considère qu’au vu de la gravité de l’infraction, le calcul de l’amende devait être compris entre 20 % et 100 % du maximum légal applicable.
Suppression du stockage des données aux Etats-Unis sous 6 mois
De plus, le CEPD charge l’Irlande d’ordonner à Meta de mettre ses traitements en conformité avec le chapitre V du RGPD, en cessant le traitement illicite, y compris le stockage, aux États-Unis des données personnelles des utilisateurs européens transférées en violation du RGPD, dans un délai de 6 mois après notification de la décision finale.