LONDRES –

L’Union européenne a infligé lundi à Meta une amende record de 1,3 milliard de dollars pour la protection de la vie privée et lui a ordonné de cesser de transférer les informations personnelles des utilisateurs outre-Atlantique d’ici octobre, la dernière salve d’une affaire d’une décennie suscitée par les craintes de cyberespionnage aux États-Unis.

La sanction de 1,2 milliard d’euros est la plus importante depuis l’entrée en vigueur du régime strict de confidentialité des données de l’UE il y a cinq ans, dépassant l’amende de 746 millions d’euros d’Amazon en 2021 pour violation de la protection des données.

Meta, qui avait précédemment averti que les services pour ses utilisateurs en Europe pourraient être coupés, s’est engagé à faire appel et à demander aux tribunaux de suspendre immédiatement la décision.

La société a déclaré « qu’il n’y a pas de perturbation immédiate de Facebook en Europe ». La décision s’applique aux données des utilisateurs telles que les noms, les adresses e-mail et IP, les messages, l’historique de visionnage, les données de géolocalisation et d’autres informations que Meta – et d’autres géants de la technologie comme Google – utilisent pour des publicités en ligne ciblées.

« Cette décision est imparfaite, injustifiée et crée un dangereux précédent pour les innombrables autres entreprises qui transfèrent des données entre l’UE et les États-Unis », a déclaré Nick Clegg, président des affaires mondiales de Meta, et directeur juridique Jennifer Newstead dans un communiqué.

C’est encore un autre rebondissement dans une bataille juridique qui a commencé en 2013 lorsque l’avocat autrichien et militant de la vie privée Max Schrems a déposé une plainte concernant le traitement de ses données par Facebook à la suite des révélations de l’ancien sous-traitant de la National Security Agency, Edward Snowden, sur la surveillance électronique par les agences de sécurité américaines. Cela incluait la révélation que Facebook avait donné aux agences l’accès aux données personnelles des Européens.

La saga a mis en évidence le conflit entre Washington et Bruxelles sur les différences entre la vision stricte de l’Europe sur la confidentialité des données et le régime relativement laxiste aux États-Unis, qui n’a pas de loi fédérale sur la confidentialité. L’UE a été un leader mondial dans la maîtrise du pouvoir des Big Tech avec une série de réglementations les obligeant à surveiller plus strictement leurs plates-formes et à protéger les informations personnelles des utilisateurs.

Un accord couvrant les transferts de données entre l’UE et les États-Unis, connu sous le nom de Privacy Shield, a été annulé en 2020 par le plus haut tribunal de l’UE, qui a déclaré qu’il n’en faisait pas assez pour protéger les résidents des indiscrétions électroniques du gouvernement américain. La décision de lundi a confirmé qu’un autre outil pour régir les transferts de données – les contrats légaux de stock – était également invalide.

Bruxelles et Washington ont signé l’année dernière un accord sur un bouclier de protection des données retravaillé que Meta pourrait utiliser, mais le pacte attend une décision des responsables européens sur la protection adéquate de la confidentialité des données.

Les institutions de l’UE ont examiné l’accord et les législateurs du bloc ont appelé ce mois-ci à des améliorations, affirmant que les garanties ne sont pas assez solides.

La Commission irlandaise de protection des données a infligé l’amende en tant que principal régulateur de la confidentialité de Meta dans le bloc des 27 pays, car le siège européen du géant technologique de la Silicon Valley est basé à Dublin.

Le chien de garde irlandais a déclaré qu’il avait donné à Meta cinq mois pour cesser d’envoyer des données d’utilisateurs européens aux États-Unis et six mois pour mettre ses opérations de données en conformité « en cessant le traitement illégal, y compris le stockage, aux États-Unis » des données personnelles des utilisateurs européens transférées en violation des règles de confidentialité du bloc.

En d’autres termes, Meta doit effacer toutes ces données, ce qui pourrait être un problème plus grave que l’amende, a déclaré Johnny Ryan, chercheur principal au Conseil irlandais pour les libertés civiles, un groupe de défense des droits à but non lucratif qui a travaillé sur les questions numériques et de données.

« Cet ordre de supprimer des données est vraiment un casse-tête pour Meta », a déclaré Ryan. Si l’entreprise doit nettoyer les données de centaines de millions d’utilisateurs de l’Union européenne depuis 10 ans, « il est très difficile de voir comment elle pourra se conformer à cet ordre ».

Si un nouvel accord de confidentialité transatlantique entre en vigueur avant les délais, « nos services peuvent continuer comme ils le font aujourd’hui sans aucune interruption ni impact sur les utilisateurs », a déclaré Meta.

Schrems a prédit que Meta n’avait « aucune chance réelle » de faire renverser matériellement la décision. Et un nouveau pacte de confidentialité pourrait ne pas signifier la fin des problèmes de Meta, car il y a de fortes chances qu’il soit rejeté par le plus haut tribunal de l’UE, a-t-il déclaré.

« Meta prévoit de s’appuyer sur le nouvel accord pour les transferts à venir, mais ce n’est probablement pas une solution permanente », a déclaré Schrems dans un communiqué. « À moins que les lois américaines sur la surveillance ne soient corrigées, Meta devra probablement conserver les données de l’UE dans l’UE. »

Schrems a déclaré qu’une solution possible pourrait être un réseau social « fédéré », où les données européennes restent dans les centres de données de Meta en Europe, « à moins que les utilisateurs ne discutent par exemple avec un ami américain ».

Meta a averti dans son dernier rapport sur les résultats que sans base légale pour les transferts de données, elle serait obligée de cesser d’offrir ses produits et services en Europe, « ce qui affecterait considérablement et négativement nos activités, notre situation financière et nos résultats d’exploitation ».

La société de médias sociaux pourrait devoir procéder à une refonte coûteuse et complexe de ses opérations si elle est finalement obligée d’arrêter les transferts. Meta dispose d’une flotte de 21 centres de données, selon son site Web, mais 17 d’entre eux se trouvent aux États-Unis. Trois autres se trouvent dans les nations européennes du Danemark, de l’Irlande et de la Suède. Un autre est à Singapour.

D’autres géants des médias sociaux subissent des pressions sur leurs pratiques en matière de données. TikTok a tenté d’apaiser les craintes occidentales concernant les risques potentiels de cybersécurité de l’application chinoise de partage de courtes vidéos avec un projet de 1,5 milliard de dollars pour stocker les données des utilisateurs américains sur les serveurs Oracle.