La plus lourde amende GDPR jamais infligée

Le Règlement général sur la protection des données, plus connu sous le nom de «RGPD», est connu dans le monde entier, depuis son entrée en vigueur en 2018, pour son régime de sanctions sévère. Il prévoit notamment des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial du responsable de la violation. En 2021, le géant américain de la technologie Amazon s’est vu infligé, par la CNPD – l’autorité luxembourgeoise chargée de la protection des données -, l’amende la plus élevée jamais infligée au titre du RGPD. Suite à une plainte déposée par La Quadrature du Net, Amazon a été condamné à une amende colossale de 746 millions d’euros.

Le 22 mai 2023, il a été annoncé qu’Amazon pourrait passer le flambeau à un autre acteur redoutable du secteur de la haute technologie : Meta Platforms Ireland. En effet, le 12 mai 2023, Meta a été condamnée par l’autorité irlandaise de protection des données (Irish DPC) à payer un nouveau montant record de 1,2 milliard d’euros à l’issue d’une procedure particulièrement longue. Le motif sous-tendant la décision d’imposer une amende de cette portée astronomique, à savoir les transferts de données à caractère personnel vers les États-Unis, tient en haleine le monde de la protection des données et de la vie privée depuis longtemps. Pour plus d’informations sur ce sujet, nous vous invitons à consulter notre précédent bulletin d’information (en néerlandais): «(R)évolution dans les transferts de données à caractère personnel».

Cette décision prononcée à l’encontre de Meta n’est pourtant pas un phénomène isolé. En décembre 2021, par exemple, l’autorité autrichienne de protection des données avait déjà constaté que l’utilisation de Google Analytics violait le RGPD, également en raison de la non-conformité des transferts internationaux de données à caractère personnel vers les États-Unis.

Meta invoque un point intéressant dans sa réponse vis-à-vis cette condamnation. C’est-à-dire, que la question du niveau de protection insuffisant des données personnelles transcende le groupe Meta. En effet, il s’agit principalement de l’accès quasiment illimité que certaines agences gouvernementales américaines (telles que la NSA et la CIA) ont aux données traitées au sein d’une entreprise américaine.

Toutefois, cette condamnation de Meta ne signifie pas que, du jour au lendemain, Facebook, Instagram ou WhatsApp ne seront plus disponibles dans l’UE. Meta a annoncé qu’elle ferait appel contre la décision, ainsi que des procédures sont actuellement en cours au sein des autorités européennes pour parvenir à une nouvelle décision relative à l’adéquation du niveau de protection des données pour les États-Unis : Privacy Shield II. Cette décision relative à l’adéquation du niveau de protection des données devrait permettre aux entreprises de partager plus facilement des données à caractère personnel avec des parties ayant leur siège aux États-Unis.

Max Schrems et son ONG «None Of Your Business» ne restent pas de côté. Au contraire, ils ont déjà fait savoir qu’ils n’hésiteraient pas à porter une action «Schrems III» devant la Cour de justice. Ils feront une telle chose, si une fois de plus il manquera de modifications substantielles dans la façon dont nos données à caractère personnel sont traitées par les grandes entreprises americaines spécialisées en haute technologie ainsi que l’aperçu authorisé aux gouvernements.

La décision de la DPC irlandaise confirme des inquiétudes de longue date : l’incertitude juridique entourant les transferts internationaux de données à caractère personnel en dehors de la Communauté économique européenne (et non pas seulement vers les États-Unis). En conséquence, il est important que les entreprises et les organisations traitent ces incertitudes prudamment et qu’elles s’informent de manière approfondie. Votre entreprise ou organisation devrait réévaluer l’ensemble de ses transferts internationaux de données ainsi que ses contacts avec des tiers. Cela nécessite des efforts à la fois opérationnels et juridiques.

Sans doute, cette bataille intense, retiendra l’attention des défenseurs de la vie privée dans un avenir prévisible. Nous suivons de proche et attentivement les derniers développements relatifs aux transferts internationaux de données à caractère personnel et l’ensemble des règles de protection des données. Nous vous tiendrons au courant à ce propos dans un prochain bulletin d’information.

 

Si vous avez des questions juridiques concernant les transferts internationaux de données à caractère personnel, le régime de sanctions prévu par le RGPD ou la protection de la vie privée et des données à caractère personnel, n’hésitez pas à contacter notre équipe Privacy & Data Protection.

 

Auteurs: Kristof Zadora, Dylan Verhulst & Alexander Broux

Cet article a été écrit par

Besoin de conseils sur un sujet précis ?

Nous vous guidons vers la bonne personne ou la bonne équipe.