Pour donner suite aux révélations d’Edward Snowden sur la surveillance de masse aux Etats-Unis par la NSA, et l’aide active apportée par Facebook (une entreprise dont la raison sociale a depuis été modifiée en Meta), il fut interdit à ce groupe de transférer les données personnelles de ses utilisateurs européens aux Etats-Unis sans protection.
Pendant une décennie, Meta a ignoré les décisions de la Cour de justice de l’Union européenne (CJUE) et du Comité européen de la protection des données (CEPD).
Il aura fallu le combat acharné d’un jeune avocat autrichien, Max Schrems, pendant dix ans, au cours de trois procédures, au risque de perdre des millions d’euros en frais de procédures, pour que Meta soit enfin condamné pour violation du Règlement Général de la Protection des Données, à 1,2 milliard d’amende.
La plus forte amende infligée au groupe à ce jour, mais qui aurait pu s’élever à plus de 4 milliards d’après la législation européenne. Meta doit suspendre tout transfert de données personnelles aux Etats-Unis d’ici cinq mois après la notification officielle de la décision de la DPC, l’autorité irlandaise des données.
Une décision contrainte, en raison du principe de résolution des disputes du CEPD.
Pour Meta :
« Nous sommes déçus d’avoir désignés alors que nous utilisons le même mécanisme juridique que des milliers d’autres entreprises désireuses de fournir des services en Europe. Cette décision est erronée, injustifiée et crée un dangereux précédent pour les innombrables autres entreprises qui transfèrent des données entre l’Union européenne et les États-Unis ».
La DPC fut largement responsable du dédain absolu de Meta envers le droit européen, et de la longueur des procédures, en protégeant systématiquement ce dernier, et en entravant méthodiquement toutes les procédures contre l’entreprise américaine.
Car l’Irlande, un des paradis fiscaux de l’UE, prospère grâce à tous les groupes étrangers qui décident d’établir le siège social de leur filiale européenne dans ce pays.
Meta peut faire appel de la décision, mais d’après Schrems, il est peu probable que le groupe obtienne gain de cause sur les violations passées.
D’autres procédures attendent Meta, car les citoyens européens sont en mesure, en vertu d’un arrêt récente de la CJUE, de demander des dommages et intérêts pour certaines violations liées à la surveillance de masse des Etats-Unis. Aux Pays-Bas, l’association de défense des consommateurs Comsumentenbond recueille des plaintes afin de lancer un recours collectif.
Le futur demeure toujours incertain pour les transferts de données personnelles des grands groupes tels que Meta, Google ou Microsoft vers les Etats-Unis : l’accord en vigueur, basé sur les règles d’entreprise contraignantes et les clauses contractuelles types, risque d’être invalidé par la CJUE, comme ses deux prédécesseurs, le bouclier de protection des données (privacy shield) et la sphère de sécurité (Safe harbour).