Une amende historique pour Meta

Mais aussi — Allemagne en récession, ChatGPT contre l'AI Act

La Revue européenne
4 min ⋅ 30/05/2023

Bonjour. Nous sommes le mardi 30 mai 2023 et voici votre condensé utile d’actualité européenne. Suivez nous également sur Twitter et LinkedIn

Le Briefing

Le 22 mai, l’autorité irlandaise de protection des données — la Data Protection Commission (DPC) — a prononcé une décision historique à l’encontre de Meta Ireland (anciennement Facebook). Meta détient désormais le record de la plus grosse amende pour non-respect du RGPD — 1,2 milliards d’euros — et détrône Amazon qui détenait jusque-là la palme avec l’amende de 746 millions d’euros infligée en 2021 au Luxembourg par la Commission nationale pour la protection des données. Meta a annoncé faire appel de la décision. 

(c) Adobe Stock(c) Adobe Stock

LA DÉCISION • Dans sa décision, la DPC irlandaise:

  1. Inflige une amende de 1,2 milliards d’euros à Meta.

  2. Ordonne à Meta de suspendre les transferts de données d’utilisateurs européens vers les Etats-Unis dans un délai de cinq mois à compter de la notification de la décision.

  3. Ordonne à Meta de supprimer ou rapatrier d’ici novembre au sein de l’UE les données personnelles d’utilisateurs européens de Facebook conservées aux Etats-Unis depuis 2020, à defaut d’une nouvelle décision d’adéquation entre l’UE et les Etats-Unis. 

POURQUOI ? • Meta est sanctionné pour infraction à l’article 46(1) du RGPD, qui concerne les transferts de données à caractère personnel vers des pays-tiers, i.e. hors de l’UE. La DPC a commencé son enquête en août 2020, peu après qu’une décision de la Cour de justice de l’UE (CJUE) a jeté la pagaille dans le monde transatlantique des transferts de données à caractère personnel. Pour y comprendre quelque chose, il faut s’intéresser à ce que dit le RGPD et surtout à la saga démarrée par l’activiste autrichien Max Schrems. 

CONTEXTE • Le RGDP conditionne le transfert de données à caractère personnel vers des pays-tiers à l’existence d’une décision d’adéquation, dont l’objet est de reconnaître que les données personnelles font l’objet d’une protection équivalente dans le pays tiers concerné. 

Dans une série d’attaques juridiques, le militant autrichien Max Schrems et l’ONG qu’il a fondée, None of Your Business (NOYB) ont fait tomber successivement le Safe Harbour en 2015 (l’arrêt Schrems I) et le Privacy Shield en 2020 (l’arrêt Schrems II) devant la CJUE, deux décisions d’adéquation négociées au plus haut niveau entre les Etats-Unis et l’UE.

Max Schrems a démontré avec succès à deux reprises que la protection des données personnelles des européens n’était pas garantie aux États-Unis, en raison de la possibilité pour les autorités américaines de récolter les données hébergées aux Etats-Unis de citoyens européens, comme l’avait spectaculairement démontré l’affaire Snowden. 

En l’absence de décision d’adéquation, les transferts de données sont gouvernés par des “clauses contractuelles types”, i.e. des modèles de contrats de transfert de données personnelles. Après l’invalidation du Privacy Shield par la CJUE en 2020, la Commission européenne a adopté de nouvelles clauses contractuelles types en 2021, sur lesquelles se fondait Meta pour opérer des transferts de données entre l’UE et les Etats-Unis. Cependant, ces clauses contractuelles doivent présenter des “garanties appropriées”, nous dit l’article 46(1) du RGPD. 

La DPC considère donc que les clauses contractuelles types ainsi que les mesures additionnelles prises par Meta pour se conformer avec le RGPD ne suffisaient pas à garantir le respect du droit à la privée pour les utilisateurs européens de Meta, dont les données sont transférées et traitées aux Etats-Unis. Avec cette décision, l’UE marque une fois de plus sa distance avec les Etats-Unis quant au traitement des données personnelles.

DÉSACCORDS EUROPÉENS • Comme l’a noté Meta dans un communiqué de presse, “la DPC a d'abord reconnu que Meta avait poursuivi de bonne foi ses transferts de données entre l'UE et les États-Unis et qu'une amende serait inutile et disproportionnée. Toutefois, le CEPD n'a pas tenu compte de cette constatation et a également choisi d'ignorer les progrès évidents réalisés par les décideurs politiques pour résoudre ce problème sous-jacent” (notre trad.). 

La DPC — qui est l’autorité “chef de file” pour Meta étant donné que celle-ci a son siège social européen en Irlande — n’était pas en faveur d’une amende ni de l’obligation pour Meta de rapatrier en Europe les données des utilisateurs européens. Le régulateur irlandais est souvent soupçonné de connivence (au moins passive) avec les grandes sociétés de la tech, en raison du poids important du secteur pour l’économie irlandaise. 

Cependant, l’autorité “chef de file” n’est pas seule décisionnaire, surtout en cas de conflit. En effet, le RGPD donne au régulateur européen — le Comité européen de protection des données (CEPD) — le pouvoir de prendre une décision contraignante en cas de désaccord. Le 13 avril, le CEPD a tranché dans le sens pour lequel plaidait notamment la CNIL, ce qui a abouti à l’amende record et à l’obligation pour Meta de rapatrier les données des utilisateurs européens en Europe.  

LA SUITE • Après le coup de tonnerre qu’a représenté l’arrêt Schrems II en 2020, les Etats-Unis et l’UE sont toujours en train de négocier une nouvelle décision d’équivalence — le draft a été publié en décembre 2022 — qui mettrait un peu d’ordre et de sécurité juridiques aux transferts transatlantiques de données personnelles. 

Les négociateurs des deux côtés espèrent aboutir à une nouvelle décision d’équivalence avant novembre 2023. Si une telle décision est adoptée, Meta n’aura plus besoin de rapatrier en Europe les données de ses utilisateurs européens. La nouvelle décision d’équivalence pourra toutefois être de nouveau déférée devant la justice européenne. Max Schrems et None of Your Business (NOYB) seront très certainement au rendez-vous, pour essayer de faire de la saga une trilogie.  

Inter Alia

ALLEMAGNE L’Allemagne — locomotive de l’économie de la zone euro — est en récession technique. Le PIB allemand s’est contracté de 0,3% en glissement annuel au premier trimestre 2023, cette baisse faisant suite à une contraction de 0,5% au dernier trimestre 2022. Pour l’Allemagne, cette récession technique est la première à intervenir depuis la pandémie de Covid-19, et a pris de court de nombreux prévisionnistes qui tablaient sur une croissance atone plutôt que négative.

Les divisions importantes de la coalition au pouvoir ne font qu’ajouter aux inquiétudes quant à la capacité de l’Allemagne à surmonter une crise énergétique qui handicape fortement son secteur industriel. Avec en trame de fond le risque qu’une récession en Allemagne contamine ses voisins et principaux partenaires commericaux, et vienne tirer l’ensemble de la zone euro vers le bas.

CHATGPT • L’AI Act, qui n’est à ce stade qu’une proposition de règlement, n’est pas au gout du PDG d’OpenAI, Sam Altman. OpenAI, qui gère le produit ChatGPT, pourrait même même arrêter de proposer ses services au sein de l’UE si le règlement — le premier texte de loi compréhensif visant à encadrer les risques engendrés par l’intelligence artificielle — venait à voir le jour dans sa dernière mouture. Le AI Act rendrait les sociétés telles qu’OpenAI partiellement responsables de la façon dont son utlisées leurs modèles, alors même que celles-ci ne contrôlent pas les usages qui sont faits de leur technologie.

Nos lectures de la semaine

  • L'UE a besoin d'une réforme radicale de ses marchés pour créer une véritable union des capitaux, écrit Karel Lannoo du CEPS dans le FT.

  • L'IESUE, le groupe de réflexion interne de l'UE sur les questions de politique étrangère, a publié une note de Stanislav Secrieru sur l'impact de la guerre en Ukraine sur la Moldavie et sur l'avenir de sa relation avec l'UE.

Cette édition a été préparée par Maxence de La Rochère et Augustin Bourleaud. À lundi prochain !

...

La Revue européenne

Par What's up EU

Les derniers articles publiés

2026/06/07/a3fa5f76-0352-4cf8-b97f-8b514735c760

Politique étrangère européenne : sortir des blocages sans changer les traités

par What's up EU  ⋅  08/06/2026  5 min

2026/05/31/304cc461-29d8-40cd-8b60-f9ee7ee1f603

Comment la Cour de justice de l'UE a invalidé la loi anti-LGBTI hongroise

par What's up EU  ⋅  01/06/2026  5 min

2026/05/25/fddc3c6b-8acd-4515-8639-9d2101c268c9

La guerre en Iran : révélateur des faiblesses de la politique étrangère de l’UE

par What's up EU  ⋅  26/05/2026  5 min

2026/05/18/5e9fc8eb-af15-46e0-8cdc-5a881787d961

L'ultimatum de Trump à l'Europe

par What's up EU  ⋅  18/05/2026  5 min

2026/05/10/db322a45-fc5d-4634-8a8b-2702ca29cd20

Contrôle des concentrations : évolution ou révolution ?

par What's up EU  ⋅  11/05/2026  4 min

2026/05/05/4111dd13-b809-431f-97d9-8fef5d1016b8

Le secteur européen du médicament à l’ère de Trump

par What's up EU  ⋅  05/05/2026  5 min

2026/04/27/63b43956-c2dd-4aea-b959-c468460af123

L'enjeu des marchés publics de défense européens

par What's up EU  ⋅  27/04/2026  7 min

2026/04/19/1fa4f91e-6b46-49b9-ad43-a1d3273a1172

Avec Péter Magyar, la Hongrie revient-t-elle en Europe ?

par What's up EU  ⋅  20/04/2026  5 min

2026/04/13/b0e9e13c-44d7-4809-8325-9e887cd84786

Le pacte asile et migration entre en vigueur en juin. Que change-t-il ?

par What's up EU  ⋅  13/04/2026  5 min

2026/04/06/9e6f4ebd-0cfb-40c9-a831-995b9f694d2f

Les enjeux de l’accord commercial UE–Inde

par What's up EU  ⋅  07/04/2026  6 min