Elaine Fahey, professeur de droit à la City University of London revient sur l'amende record de 1,2 milliard d'euros infligée par l'autorité irlandaise de la protection des données personnelles (DPC) à Meta en raison du transfert d'informations d'utilisateurs européens vers les États-Unis.
L'amende de 1,2 milliard d'euros infligée à Meta par le commissaire irlandais à la protection des données (DPC) et l'ordre de mettre fin aux transferts de données de l'UE vers les États-Unis constituent un nouvel épisode de l'évolution de la portée mondiale de la législation de l'UE. L'autorité irlandaise a une compétence de facto et de jure au niveau mondial pour l'UE, étant donné que le siège de Meta est basé en Irlande.
Auparavant, Meta avait menacé de quitter l'Europe si cette décision se concrétisait. Meta perçoit 10 % de son chiffre d'affaires global de l'UE, sur un chiffre d'affaires de 117 milliards de dollars en 2022. La société américaine a notamment déplacé de nombreux utilisateurs britanniques vers le droit américain à partir du droit européen après le Brexit, ainsi que d'autres sociétés de médias sociaux, montrant la force de ses règles malgré le fait qu'elle se dise en faveur du règlement général sur la protection des données (RGPD) du droit européen.
La DPC irlandaise a fait l'objet d'importantes critiques et d'un examen minutieux au niveau national et international pour son approche trop laxiste de la réglementation. D'autres autorités de protection des données dans l'UE ont cherché à invoquer les procédures de l'UE pour augmenter les amendes. L'EDPB a annulé la décision précédente de la DPC et l'a contrainte à infliger une amende de 1,2 milliard d'euros et à se pencher sur la question de la collecte de données sur les utilisateurs dans le passé, en prévoyant éventuellement leur suppression.
La décision vise à appliquer strictement une décision de la CJUE dans l'affaire Schrems II de 2020, introduite par Max Schrems, étudiant en droit autrichien et militant pour la protection de la vie privée, qui a abouti à l'annulation par la CJUE du bouclier de protection de la vie privée UE-États-Unis en raison de la surveillance indue des citoyens de l'UE possible en vertu de la législation américaine en particulier.
D'une part, Meta a réagi à la décision du DPC en affirmant qu'elle était "erronée, injustifiée et qu'elle créait un dangereux précédent". D'autre part, la société américaine a également attiré l'attention sur un important accord international en cours d'élaboration entre l'UE et les États-Unis. Il s'agit d'un accord conçu pour répondre plus complètement à la décision de la CJUE dans l'affaire Schrems et pour faire évoluer le bouclier de protection de la vie privée, lui-même conclu à la hâte.
L'une des caractéristiques notables de cette affaire est que Meta s'appuie fortement sur un accord-cadre UE-États-Unis sur la protection des données personnelles, conclu en mars 2022, dans sa défense publique de l'issue de l'affaire. L'accord, désormais en vigueur, comprend une série d'engagements contre la surveillance et les actions, y compris une nouvelle “Cour UE-États-Unis” pour la protection des données personnelles. Il s'agit d'une étape clé vers une décision d'"adéquation" avec les États-Unis, ce qui signifie que les États-Unis pourraient être considérés comme offrant une protection équivalente à la législation de l'UE en matière de protection de la vie privée et permettre des transferts de données plus faciles.
Le Parlement européen a rencontré le ministère de la Justice, la Maison Blanche et de nombreux autres acteurs clés à Washington DC en mai 2023 afin d'apporter des ajustements à l'accord sur la protection de la vie privée, en tenant compte de toutes les préoccupations.
Actuellement, le Parlement européen reste très insatisfait de l'évolution du cadre - il a fait valoir que le cadre UE-États-Unis de protection des données personnelles ne crée pas l'équivalence essentielle du niveau de protection avec le droit européen et a demandé à la Commission de ne pas adopter la décision d'adéquation tant que toutes les recommandations du Parlement européen et du Comité européen de protection des données n'auront pas été suivies.
Il est donc très important que de nouveaux accords et acteurs transatlantiques, par exemple une Cour, puissent entrer en jeu à ce stade et s'engager de manière constructive sur la question de la convergence entre les Big Tech et le droit européen. Entre-temps, la balle est dans le camp des législateurs transatlantiques qui doivent répondre à l'application vivante de la législation européenne sur le terrain.
Elaine Fahey, professeur de droit à la City University of London