La plus lourde amende GDPR jamais infligée

Le Règlement général sur la protection des données, plus connu sous le nom de «RGPD», est connu dans le monde entier, depuis son entrée en vigueur en 2018, pour son strict régime de sanctions. Il prévoit notamment des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial du responsable de la violation. En 2021, le géant américain de la technologie Amazon s’est vu infligé, par la CNPD - l’autorité luxembourgeoise chargée de la protection des données -, l’amende la plus élevée jamais infligée au titre du RGPD. À la suite d'une plainte déposée par La Quadrature du Net, Amazon s'est vu infliger une amende colossale de 746 millions d'euros.

Le 22 mai 2023, il a été annoncé qu’Amazon pourrait passer le flambeau à un autre acteur majeur du marché de la technologie : Meta Platforms Ireland. En effet, le 12 mai 2023, Meta a été condamnée par l’autorité irlandaise de protection des données (Irish DPC) à un nouveau montant record de 1,2 milliard d’euros à l'issue d'un procès particulièrement long. Les raisons qui sous-tendent cette amende astronomique tient en haleine le monde de la protection de la vie privée depuis un certain temps : les transferts internationaux de données à caractère personnel vers les États-Unis. Pour plus d’informations sur ce sujet, nous vous invitons à consulter notre précédent bulletin d’information (en néerlandais): «(R)évolution dans les transferts de données à caractère personnel».

Cette décision prononcée à l'encontre de Meta n'est pas un phénomène isolé. En décembre 2021, par exemple, l’autorité autrichienne de protection des données avait déjà constaté que l’utilisation de Google Analytics violait le RGPD, notamment en raison de la non-conformité des transferts internationaux de données à caractère personnel vers les États-Unis.

Meta soulève un point intéressant dans sa réponse à cette condamnation. La question du niveau inadéquat de protection des données personnelles transcende le groupe Meta. En effet, elle concerne principalement l'accès quasi illimité que certaines agences gouvernementales américaines (telles que la NSA et la CIA) ont aux données traitées au sein d'une entreprise américaine.

Toutefois, cette condamnation de Meta ne signifie pas que, du jour au lendemain, Facebook, Instagram ou WhatsApp ne seront plus disponibles dans l’UE. Meta a annoncé qu’elle ferait appel de la décision et dans le même temps, des procédures sont également en cours au sein des autorités européennes pour parvenir à une nouvelle décision relative à l’adéquation du niveau de protection des données pour les États-Unis : Privacy Shield II. Cette décision relative à l’adéquation du niveau de protection des données devrait permettre aux entreprises de partager plus facilement des données à caractère personnel avec des parties basées aux États-Unis.

Max Schrems et son ONG «None Of Your Business» ne restent pas inactifs non plus. Ils ont déjà fait savoir qu’ils n’hésiteraient pas à porter une action «Schrems III» devant la Cour de justice. Ils le feront en l’absence de modifications substantielle apportée à la manière dont nos données à caractère personnel sont traitées par les grandes entreprises technologiques américaines et à l’usage que les gouvernements américains peuvent en faire.

La décision de la Commission irlandaise pour la protection des données (DPC) confirme des préoccupations de longue date : l’incertitude juridique entourant les transferts internationaux de données à caractère personnel en dehors de la Communauté économique européenne (et pas seulement vers les États-Unis). Il est donc important que les entreprises et les organisations traitent ces incertitudes avec la prudence nécessaire et s’informent de manière approfondie. Votre entreprise ou organisation devrait réévaluer l’ensemble de ses transferts internationaux de données et, par conséquent, ses contacts avec des tiers. Cela nécessite des efforts à la fois opérationnels et juridiques.

Cette bataille intense retiendra sans aucun doute l'attention de la communauté des défenseurs de la vie privée dans un avenir proche. Nous suivons de près les derniers développements relatifs aux transferts internationaux de données à caractère personnel et l’ensemble des règles de protection des données. Nous vous tiendrons informés dans un prochain bulletin d’information.

Si vous avez des questions juridiques concernant les transferts internationaux de données à caractère personnel, le régime de sanctions prévu par le RGPD ou la protection de la vie privée et des données à caractère personnel, n’hésitez pas à contacter notre équipe Privacy & Data Protection.

Alexander Broux, Dylan Verhulst et Kristof Zadora