Jeudi, l'autorité irlandaise de protection des données (DPC) a annoncé qu'elle pourrait arrêter les transferts de données entre Meta Platforms Ireland et sa société mère américaine, ce qui aurait pour effet de fermer Facebook en Europe.
Lisez ici la déclaration complète de Politico.eu, qui a été le premier à la rapporter.
<blockquote>
Le 7 juillet 2022 12:37 PM CET par Vincent Manancourt.
Les Européens risquent de voir les services de médias sociaux Facebook et Instagram fermés cet été, car le régulateur irlandais de la protection de la vie privée a doublé son ordre d'arrêter les flux de données de l'entreprise vers les États-Unis.
La Commission irlandaise de protection des données a informé jeudi ses homologues européens qu'elle empêcherait Meta, propriétaire de Facebook, d'envoyer des données d'utilisateurs de l'Europe vers les États-Unis. Le projet de décision du régulateur irlandais s'attaque au dernier recours légal de Meta pour transférer de grandes quantités de données vers les États-Unis, après des années de féroces batailles judiciaires entre le géant américain de la technologie et les militants européens de la protection de la vie privée.
En 2020, la Cour de justice de l'Union européenne a annulé un pacte sur les flux de données entre l'Union européenne et les États-Unis, appelé "Privacy Shield", en raison des craintes suscitées par les pratiques de surveillance des États-Unis. Dans son arrêt, elle a également rendu plus difficile l'utilisation d'un autre outil juridique que Meta et de nombreuses autres entreprises américaines utilisent pour transférer des données personnelles aux États-Unis, à savoir les clauses contractuelles types (CCN). La décision prise cette semaine par l'Irlande signifie que Facebook est contraint de cesser de s'appuyer sur les CSC.
Meta a averti à plusieurs reprises qu'une telle décision mettrait fin à bon nombre de ses services en Europe, notamment Facebook et Instagram.
"Si un nouveau cadre de transfert de données transatlantique n'est pas adopté et que nous ne pouvons pas continuer à nous appuyer sur les CSC ou sur d'autres moyens alternatifs de transfert de données de l'Europe vers les États-Unis, nous serons probablement incapables d'offrir un certain nombre de nos produits et services les plus importants, y compris Facebook et Instagram, en Europe", a déclaré Meta dans un document déposé auprès de la Securities and Exchange Commission des États-Unis en mars de cette année.
L'ordonnance de blocage irlandaise, si elle est confirmée par le groupe des régulateurs nationaux européens de la protection des données, devrait également jeter un froid dans le monde des affaires, qui se demande comment continuer à envoyer des données de l'Europe vers les États-Unis à la suite de la décision de la plus haute juridiction de l'UE en 2020.
L'Union européenne et les États-Unis sont en train de négocier un nouveau texte sur le transfert de données qui permettrait à des entreprises comme Meta de continuer à envoyer des données de l'autre côté de l'Atlantique, indépendamment de la décision irlandaise. En mars, Bruxelles et Washington ont conclu un accord préliminaire au niveau politique, mais les négociations sur les détails juridiques sont au point mort et il est peu probable qu'un accord final soit conclu avant la fin de l'année.
Un porte-parole du DPC irlandais a confirmé que le projet de décision avait été envoyé aux autres régulateurs européens de la protection de la vie privée, qui ont maintenant un mois pour donner leur avis, mais il n'a pas voulu discuter des détails de la décision.
"Ce projet de décision, qui est soumis à l'examen des autorités européennes de protection des données, concerne un conflit entre le droit européen et le droit américain qui est en cours de résolution", a déclaré un porte-parole de Meta. "Nous nous félicitons de l'accord entre l'UE et les États-Unis sur un nouveau cadre juridique qui permettra la poursuite du transfert de données au-delà des frontières, et nous espérons que ce cadre nous permettra de maintenir les familles, les communautés et les économies connectées."
Voir la source sur politico.eu.
</blockquote>Les agences de protection des données des autres États membres de l'UE disposent d'un mois pour faire part de leur avis et de leurs objections avant que la décision ne soit prise, mais le processus risque de durer plus longtemps. Cette décision pourrait entraîner la plus grande perturbation de l'histoire du géant des médias sociaux. Le CPD n'a pas révélé le contenu du projet.
Au début de l'année, Facebook a déclaré que l'impossibilité de transférer des données à l'étranger pourrait affecter la disponibilité de ses produits. Ce scénario semble désormais sur le point de devenir réalité.
(Mise à jour : l'EDPB s'est directement impliqué dans l'affaire. En fin de compte, Meta a été condamnée à une amende record de 1,2 milliard d'euros et à suspendre les transferts de données de Facebook vers les États-Unis. Les conditions de l'ordonnance de suspension sont en suspens et le risque d'un black-out de Facebook est plus réel que jamais. Nous avons écrit sur cette décision en profondeur)
- Facebook et Schrems. Une longue histoire
- Répression de Google Analytics
- Bouclier de protection de la vie privée 2.0
- Implications de l'interdiction de Facebook
- Dernières réflexions
Facebook et Schrems. Une longue histoire
Le projet de décision est le résultat d'une bataille juridique longue et complexe entre Max Schrems et Facebook. Il y a neuf ans, Max Schrems, militant pour la protection de la vie privée, a déposé une plainte concernant les transferts de données de Facebook devant le CPD, invoquant des préoccupations en matière de protection de la vie privée à la suite des révélations de Snowden. L'affaire s'est retrouvée à deux reprises devant la Cour de justice de l'Union européenne, qui a invalidé deux cadres de transfert de données entre l'Union européenne et les États-Unis dans les affaires Schrems I et II, qui ont fait date.
L'affaire Schrems II a rendu les transferts de données vers les États-Unis délicats, car la Cour a souligné la nécessité de mettre en place des garanties efficaces contre la surveillance américaine, ce qui est difficile et souvent impossible pour les entreprises européennes.
En vertu de la législation américaine en matière de surveillance, Facebook est considéré comme un "fournisseur de services de communication électronique" et est donc tenu de partager des données avec les services de renseignement américains si ceux-ci le lui demandent. Cela signifie que les agences américaines peuvent accéder aux données personnelles des citoyens de l'UE.
Le mandat du GDPR est simple : protéger la confidentialité des données européennes. Cette protection ne peut être garantie lorsque les données personnelles sont envoyées de l'UE vers les serveurs de Facebook aux États-Unis.
Répression de Google Analytics
L'arrêt Schrems II n'a pas suscité de réaction de la part des autorités chargées de la protection des données jusqu'au début de cette année, lorsque le DSB (Autriche) a réagi en interdisant l'utilisation de Google Analytics. La CNIL (France ) n'a pas tardé à suivre, et la Garante (Italie) a également interdit Google Analytics la semaine dernière. Il est probable que d'autres États membres de l'UE suivront cet exemple dans les mois à venir.
(Mise à jour : La Finlande et la Norvège se sont prononcées contre Google Analytics, bien que les conclusions de l'autorité norvégienne soient encore préliminaires. En outre, le Danemark a adopté la même position dans un communiqué de presse.
Bouclier de protection de la vie privée 2.0
Un porte-parole de Facebook a indiqué que la question était en cours de résolution, faisant référence à un nouvel accord entre les États-Unis et l'Union européenne qui permettra la poursuite du transfert de données. Il s'agit du "Privacy Shield 2.0". Toutefois, l'accord est loin d'être finalisé. L'UE(ici) et les États-Unis(ici) ont annoncé un nouvel accord sur un nouveau cadre pour le transfert transatlantique de données, mais aucun document juridique n'a été fourni.
Max Schrems (oui, celui qui est à l'origine des jugements) a fait remarquer que"le texte final aura besoin de plus de temps" :
"Le texte final aura besoin de plus de temps ; dès qu'il sera disponible, nous l'analyserons en profondeur, en collaboration avec nos experts juridiques américains. S'il n'est pas conforme à la législation européenne, nous ou un autre groupe le contesterons probablement. En fin de compte, la Cour de justice se prononcera une troisième fois. Nous nous attendons à ce que la Cour soit à nouveau saisie dans les mois qui suivront la décision finale.
Mise à jour : le nouveau cadre pour les transferts de données entre l'UE et les États-Unis est en route. Le président américain Joe Biden a signé un décret en octobre 2022 et la Commission européenne a publié un [projet de décision d'adéquation] pour les États-Unis deux mois plus tard. Ensemble, ces deux actes sont censés constituer le fondement du cadre transatlantique de protection des données.
Le nouveau cadre reste problématique à certains égards et sera certainement contesté devant les tribunaux. Il s'est également heurté à l'opposition du Parlement européen. Nous sommes face à un nouvel arrêt Schrems et il est difficile de dire ce qu'il en sera.
Implications de l'interdiction de Facebook
Un conflit non résolu sur le transfert transatlantique de données pourrait avoir un impact significatif sur (presque) tous les Européens. Il semble irréaliste que les citoyens de l'UE n'aient pas accès à Facebook, mais cela pourrait bien devenir une réalité.
En février, Helen Dixon, directrice de la DPC, a déclaré à Reuters qu'une décision n'aurait pas d'incidence immédiate sur WhatsApp, car le contrôleur des données est différent.
Cela peut sembler dur, mais le GDPR montre enfin ses dents. La vie privée est un droit de l'homme et doit être traitée comme tel. Google et Facebook sont devenus les plus grands monopoles du monde en monétisant nos données. Ce modèle est en train de se fissurer, car de plus en plus de consommateurs exigent le respect de leur vie privée.
Dernières réflexions
Nous avons créé Simple Analytics parce que la protection de la vie privée nous tient à cœur. Nous nous battons principalement contre Google, car Simple Analytics est une alternative à Google Analytics qui respecte la vie privée, mais cela ne s'arrête pas là. Nous croyons en un web indépendant et convivial pour les visiteurs des sites web.
Pour créer un web plus ouvert, nous devons adopter un état d'esprit différent. Nous devons trouver des moyens de ne plus dépendre des plus grandes sociétés de publicité au monde. Nous devons vraiment trouver le moyen de devenir indépendants de ces bêtes dévoreuses de données.
Pour changer cela, nous avons besoin d'alternatives qui nous permettent de le faire. Et oui, nous sommes partiaux parce que nous avons construit une alternative à Google Analytics qui respecte la vie privée. Mais si ce message résonne en vous, vous devriez jeter un coup d'œil à toutes ces alternatives basées dans l'UE pour les produits numériques et vous en rendre compte par vous-même.