Accueil
Le quotidien du droit en ligne
-A+A
Article

Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 22 mai 2023

Sélection de l’actualité « Technologies de l’information » marquante de la semaine du 22 mai.

Données personnelles

Transfert de données personnelles de l’Union européenne vers les Etats-Unis: décision rendue par la CNIL irlandaise à l’encontre de Meta

  • La Commission de protection des données irlandaise (DPC), dernièrement critiquée pour son inaction, a annoncé le 22 mai 2023 la conclusion de son enquête sur Meta Platforms Ireland Limited ("Meta Ireland"), examinant les bases sur lesquelles Meta Ireland transfère des données personnelles de l’UE/EEE vers les États-Unis dans le cadre de la prestation de son service Facebook.
    La DPC a adopté sa décision finale dans cette enquête le 12 mai 2023. La décision enregistre que Meta Ireland a enfreint l’article 46 du RGPD lorsqu’elle a continué de transférer des données personnelles de l’UE/EEE vers les États-Unis, sans remettre en cause ses pratiques après la célèbre saga jurisprudentielle liant anciennement Facebook et Maximillian Schrems, reconsidérant la sécurité des transferts de données outre Atlantique.
    Dans ces circonstances, la DPC demande une suspension des transferts de données vers les États-Unis et condamne Meta Ireland au paiement d’une amende administrative de 1,2 milliards €.
    Bien que Meta Ireland ait effectué ces transferts sur la base des Clauses contractuelles types ("CCT") mises à jour et adoptées par la Commission européenne en 2021, la DPC a conclu que cet encadrement juridique des transferts de données ne protégeait pas assez les utilisateurs des risques pour leurs droits fondamentaux et libertés. En effet, le système juridique de protection des données personnelles américain n’a toujours pas reçu, de la part de la Commission, une décision d’adéquation assurant une équivalence de protection pour les citoyens européens transférant leurs données personnelles hors des frontières de l’Union.
    Conformément à une procédure de coopération prévue par le RGPD (article 60), la décision provisoire préparée par la DPC a été soumise à ses homologues régulateurs dans l’UE/EEE.
    De par l’étendu des services de Meta Ireland, de très nombreuses autorités de contrôle de l’UE/EEE ont été impliquées dans cette enquête, dans le cadre d’une procédure de coopération, désignant une nouvelle fois la DPC comme autorité chef de fil.
    À la suite de ce processus de consultation informel entre autorités européennes, il est apparu qu’un consensus ne pouvait pas être atteint. Conformément à ses obligations en vertu du RGPD, la DPC a transmis les objections au Comité européen de protection des données ("l’EDPB") conformément au mécanisme de résolution des litiges prévu à l’article 65.
    L’EDPB a donc adopté une décision le 13 avril 2023, alors suivie par la DPC dans sa décision finale et la clôture de son enquête contre Meta Ireland. (Data Protection Commission announces conclusion of inquiry into Meta Ireland, 22 mai 2023)

La transmission de données dans le cadre d’une enquête menée par la Commission européenne

  • La Cour de justice de l’Union européenne (CJUE) a rejeté le recours de Meta, l’entreprise américaine propriétaire de Facebook, ce 24 mai, contre l’Union européenne pour non-respect de la vie privée. Cette affaire concerne à l’origine, une enquête antitrust lancée par la Commission européenne en mai 2020, dans laquelle l’entreprise était tenue de fournir des documents identifiés par le biais de termes de recherche.
    La demande de renseignements exigeait la transmission de documents, en vertu du règlement de 2003 relatif à la mise en œuvre des règles de concurrence, contenant des termes de recherche spécifiques. En cas de non-communication des documents demandés, une astreinte journalière de 8 millions d’euros était prévue.
    Meta Platforms Ireland a contesté la demande de renseignements et a introduit un recours en annulation et une demande en référé.
    Meta se base, afin de contester cette demande, sur le fait que les termes de recherche spécifiés aboutiraient à la collecte d’un grand nombre de documents non pertinents pour l’enquête de la Commission, exigeant un effort disproportionné pour l’entreprise et violant le droit au respect de la vie privée des utilisateurs, parfois visés de manière collatérale par cette demande de communication de documents contenant parfois des données personnelles sensibles.
    Le président du Tribunal a ordonné le sursis à l’exécution de la demande de renseignements jusqu’à la mise en place...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :