Pourquoi un budget tech plus élevé ne garantit aucun avantage
Benedikt Langer
7 min de lecture La technologie est, dans le Gartner CEO Survey 2026, la priorité ayant le plus augmenté ...
La Commission irlandaise de protection des données a, selon un communiqué de presse du 22 mai 2023, infligé au groupe américain Meta une amende record de 1,2 milliard d’euros pour de graves violations de la protection des données. Certains trouvent que cela va trop loin, d’autres pas assez.
Dès l’annonce de la condamnation de Meta, la maison mère de Facebook, WhatsApp et Instagram, à une amende de 1,2 milliard d’euros par l’autorité irlandaise de protection des données, les avis ont fortement divergé. Les critiques ont présenté Meta comme une victime expiatoire de l’incapacité à s’entendre avec les États-Unis pour que « l’espionnage entre amis » (selon les propos d’Angela Merkel) ne soit pas permis, d’autant que les agences américaines comme la CIA et la NSA ont toujours la possibilité, en cas de doute, d’exiger la divulgation de données européennes.
L’avocat autrichien et militant de la protection des données Max Schrems, qui avait déjà fait tomber l’accord Safe Harbor en 2015 puis le bouclier de protection des données UE-États-Unis (Privacy Shield) en 2020, a avancé une argumentation similaire mais d’une tout autre nature. Il estime en effet que l’amende, dix ans après les révélations du lanceur d’alerte américain Edward Snowden en 2013 et après dix ans de procédure judiciaire, aurait pu être nettement plus élevée. Compte tenu de la violation délibérée et continue du RGPD ou des réglementations antérieures sur la protection des données, « uniquement pour faire du profit », une amende maximale de 4 milliards d’euros aurait même été justifiée, selon Schrems. « Si les lois américaines sur la surveillance ne sont pas modifiées, Meta va probablement devoir restructurer fondamentalement ses systèmes », ajoute-t-il, selon Golem. La décision irlandaise définitive est intervenue à la suite de l’intervention du Comité européen de la protection des données (CEPD), après que d’autres États membres de l’UE ont refusé de l’accepter. C’est pourquoi le CEPD a rédigé une décision contraignante conformément à l’article 65 du RGPD, adoptée le 13 avril, comme le rapporte Golem.
La présidente du CEPD, Andrea Jelinek, a ainsi justifié la décision : « Le CEPD a constaté que la violation commise par Meta IE est très grave, car il s’agit de transferts systématiques, répétés et continus. Facebook compte des millions d’utilisateurs en Europe, de sorte que le volume des données personnelles transférées est énorme. L’amende sans précédent est un signal fort envoyé aux entreprises : les violations graves ont des conséquences considérables. »
Nick Clegg et Jennifer Newstead, de Meta Group, ont immédiatement qualifié la décision d’« erronée et injustifiée ». Elle créerait en outre un précédent pour d’innombrables autres entreprises qui transfèrent des données entre l’UE et les États-Unis.
Des critiques sont également venues de l’association allemande du numérique Bitkom. « L’Europe ne doit pas ériger un blocus transatlantique des données. Le découplage de l’UE des offres et services de l’économie internationale des données conduit à l’isolement numérique et nuit bien plus aux citoyens et aux entreprises européennes qu’il ne leur profite. Un cadre juridique fonctionnel pour les transferts internationaux de données entre l’UE et les États-Unis doit désormais être la priorité absolue des politiques », a déclaré le directeur général Bernhard Rohleder dans une première prise de position.
Schrems, tout comme d’autres, s’attend à ce que Meta fasse appel de cette décision, une procédure qui peut s’étaler sur plusieurs années. « Mais il n’y a aucune chance réelle de modifier le fond de cette décision. Les violations juridiques antérieures ne peuvent être effacées par un nouvel accord entre l’UE et les États-Unis. Meta ne peut au mieux que retarder légèrement le paiement de l’amende », explique l’activiste autrichien en matière de protection des données, qui avait déjà déposé une action collective contre Facebook en Irlande à Vienne en 2014. 25 000 personnes se sont jointes à cette action collective. Avant que la Cour de justice de l’Union européenne (CJUE) n’annule le bouclier de confidentialité UE-États-Unis en 2020 à son initiative, Schrems avait signalé à l’autorité irlandaise de protection des données que Facebook Irlande transférait ses données vers le siège aux États-Unis.
Schrems et d’autres critiques voient également d’un mauvais œil les possibilités d’accès potentielles des autorités américaines. En effet, celles-ci restent théoriquement possibles après l’abrogation de l’ancien Patriot Act américain par le USA Freedom Act, et ce, même pour les données hébergées en Europe. C’est pourquoi les défenseurs de la vie privée plaident pour un nouveau transatlantique. Il s’agit notamment de protéger les entreprises, de part et d’autre de l’Atlantique, contre une espionnage industriel ou économique parfois orchestrée par l’État. Dans ce contexte, le nom de la NSA est régulièrement apparu dans le passé, tandis que les services de renseignement européens, comme le BND, restent plutôt inactifs car ils manquent généralement de la mission économique correspondante.
Source de l’image : Adobe Stock / Александр Поташев
Aussi disponible en