Comme le rapporte l'IAPP, deux documents de Meta accessibles au public suggèrent que l'autorité irlandaise de protection des données (DPC) pourrait bientôt suspendre les transferts de données entre l'UE et les États-Unis pour la plateforme Facebook et imposer une amende à Meta. Comme le rapporte le Irish Times, la décision pourrait intervenir dès le 12 mai.
En fonction de l'évolution de la situation, il pourrait en résulter un black-out temporaire de Facebook en Europe. Cette affaire très médiatisée créera certainement un précédent et pourrait avoir un impact sur la vie numérique de millions de personnes.
(Mise à jour : l'ordre de suspendre les transferts de données est arrivé le 22 mai, accompagné d'une amende record de 1,2 milliard d'euros. Nous avons examiné la décision dans un autre blog)
- Que disent les documents ?
- L'histoire jusqu'à présent
- Les questions juridiques
- Que se passera-t-il ensuite ?
- Que signifie cette décision pour les transferts de données ?
- Réflexions finales
Entrons dans le vif du sujet !
Que disent les documents ?
Les deux documents (un rapport sur les résultats et un formulaire soumis à la Security and Exchange Commission des États-Unis) sont longs et traitent d'un grand nombre de questions différentes.
À la page 3 du rapport trimestriel sur les résultats de Meta, on peut lire ce qui suit :
Nous nous attendons à ce que la Commission irlandaise de protection des données (IDPC) rende une décision en mai (...), y compris une ordonnance de suspension (...) et une amende. Nos consultations en cours avec les décideurs politiques des deux côtés de l'Atlantique continuent d'indiquer que le nouveau cadre UE-États-Unis de protection des données sera pleinement mis en œuvre avant la date limite de suspension de ces transferts, mais nous ne pouvons pas exclure la possibilité qu'il ne soit pas achevé à temps.
Le formulaire Q-10 contient plus de détails à la page 54 :
Une fois la décision finale rendue, nous aurons la possibilité de faire appel et de demander un sursis. Une ordonnance de suspension de transfert prendrait effet après un certain temps, à moins qu'un nouveau cadre de transfert de données transatlantique ne soit finalisé avant cette date ou que l'IDPC ne revienne sur l'ordonnance de suspension en raison d'un changement important dans la législation américaine.
Nous considérons que les documents sont fiables. Il n'est pas rare que les parties à une procédure disposent d'informations privilégiées sur l'issue de la procédure avant la publication de la décision. C'est particulièrement vrai dans le cas d'un géant de la technologie qui dispose de nombreuses relations et de capacités de lobbying.
L'histoire jusqu'à présent
L'histoire est déjà longue, alors prenez un sandwich (ou passez votre chemin, on ne vous en voudra pas).
Tout a commencé en 2013 lorsque le dénonciateur de la NSA, Edward Snowden, a divulgué des fichiers confidentiels sur les opérations de l'agence, notamment sur les programmes de surveillance électronique à grande échelle Upstream et Prism.
Les révélations de Snowden ont incité Max Schrems (oui, le gars des arrêts Schrems I et II) à déposer une plainte auprès de l'autorité autrichienne de protection des données contre les transferts de données de Facebook vers les États-Unis. Il a affirmé qu'en raison de l'ampleur et du caractère indiscriminé de la surveillance électronique exercée par le gouvernement américain, les transferts de données vers Facebook aux États-Unis ne pouvaient pas garantir la confidentialité des données personnelles.
L'autorité autrichienne a transmis la plainte à son homologue irlandaise, car la principale filiale européenne de Facebook se trouve en Irlande. Ce fut le début d'une bataille juridique sans fin, au cours de laquelle Facebook a tenté par tous les moyens de retarder la décision finale. Pendant une décennie, l'affaire a fait des allers-retours entre le DPC, les tribunaux irlandais et la Cour de justice de l'UE.
Les décisions de la Cour de justice ont eu un impact très important sur le droit européen en matière de protection de la vie privée. En 2015, l'arrêt Schrems I a invalidé l'accord Safe Harbor, qui simplifiait considérablement les transferts de données entre l'UE et les États-Unis. Un nouvel accord, connu sous le nom de Privacy Shield, a remplacé le Safe Harbor, mais il a de nouveau été invalidé par la Cour dans l'arrêt Schrems II de 2020.
Dix ans et deux arrêts historiques plus tard, la DPC a finalement rédigé une décision de suspension des transferts de données et l'a soumise au Comité européen de la protection des données (l'institution européenne où siègent toutes les autorités de protection des données). Le mois dernier, le CEPD a réglé l'affaire par une décision qui n'a pas encore été publiée. La décision du CEPD est contraignante pour la DPC, mais celle-ci dispose encore d'une certaine marge d'autonomie, notamment en ce qui concerne la quantification des amendes.
Les questions juridiques
Nous n'avons pas encore de décision, mais à la lumière de l'arrêt Schrems II et des récentes décisions contre Google Analytics, il est facile de deviner les questions juridiques en jeu.
Lorsqu'un utilisateur européen navigue sur Facebook, ses données sont traitées par plusieurs entités liées à Meta. Les plus importantes sont Meta Platforms et sa principale filiale européenne, Meta Platforms Ireland. Comme Meta Platforms effectue elle-même l'essentiel du traitement des données, Facebook exige un transfert de données vers les États-Unis pour que cela fonctionne.
Les transferts de données vers les États-Unis posent problème depuis l'arrêt Schrems II. Les entreprises qui transfèrent des données vers les États-Unis (et d'autres pays "peu sûrs") doivent mettre en œuvre des mesures suffisantes pour protéger les données personnelles de la surveillance de l'État. Ces mesures doivent être mises en œuvre en plus des mécanismes de transfert de données tels que les clauses contractuelles types ou les règles d'entreprise contraignantes, qui sont une exigence standard pour la plupart des pays non membres de l'UE.
Meta s'appuie sur des clauses contractuelles types pour le transfert de données, mais il n'est pas certain que l'entreprise ait mis en œuvre des garanties supplémentaires suffisantes pour préserver la confidentialité des données à caractère personnel. Si ce n'est pas le cas, les transferts de données de Meta Ireland vers la société mère sont en infraction avec le GDPR.
Et selon toute vraisemblance, ce n'est pas le cas. C'est exactement le même problème auquel Google est confronté dans une série de plaintes coordonnées déposées par noyb (une ONG fondée par Schrems lui-même) et la raison pour laquelle cinq autorités européennes de protection des données ont pratiquement banni Google Analytics de leurs pays respectifs. Il n'y a pas de solution facile, même pour une entreprise aussi importante que Google.
Pour être clair, il existe des mesures techniques qui peuvent rendre les transferts de données plus sûrs, mais elles ne sont pratiques que pour certains types de services (nous en avons discuté ici). En fait, trois ans se sont écoulés depuis les plaintes de noyb, et Google n'a toujours pas trouvé de solution. À notre avis, Meta n'a pas non plus trouvé de solution. Si l'entreprise avait des cartes dans sa manche, elle les aurait déjà jouées au lieu de risquer un black-out de Facebook.
Que se passera-t-il ensuite ?
La décision ne sonnera pas le glas de Facebook en Europe, mais elle pourrait entraîner une panne temporaire du service dans l'UE et l'EEE, en fonction de deux facteurs.
Le premier facteur est le temps. L'UE et les États-Unis sont parvenus à un accord sur le cadre transatlantique de protection des données personnelles, un autre cadre de transfert de données destiné à remplacer le bouclier de protection des données. Ce cadre sera intégré au cadre juridique de l'UE lorsque la Commission européenne adoptera une décision d'adéquation - un acte qui, en substance, "donne le feu vert" à un pays non membre de l'UE en tant que destination sûre et permet des transferts de données en toute tranquillité.
(Par ailleurs, le nouveau cadre fera certainement l'objet de contestations juridiques de la part du noyb. Nous sommes en présence d'un arrêt Schrems III, et il est difficile de prédire ce qu'il en sera. Mais ce n'est pas encore une question urgente pour Meta).
Une décision d'adéquation a déjà été rédigée et est actuellement en attente de l'approbation des États membres. Il est probable qu'elle soit adoptée, mais on ne sait pas exactement quand cela se produira.
Selon les documents, Meta s'attend à ce que l'ordonnance de suspension de la DPC soit assortie d'une date limite. Par conséquent, la continuité du service pour Facebook dépend de la date de la décision d'adéquation. Si la décision d'adéquation est adoptée avant la date limite, Meta pourra s'appuyer sur la décision pour le transfert des données et continuera à fournir le service. Mais si la décision arrive trop tard, Meta pourrait être contraint de suspendre le service dans l'intervalle. Meta est quelque peu optimiste quant au fait que la décision interviendra à temps, mais n'en est pas tout à fait certain.
Le deuxième facteur en jeu est l'issue des futures actions en justice de Meta. Meta a l'intention de contester la décision et de demander un sursis pour l'ordre de suspension - probablement jusqu'à ce que le vote sur la décision d'adéquation ait lieu au sein de la Commission européenne. Un sursis pourrait donner à Meta le temps de continuer à fournir Facebook aux utilisateurs européens jusqu'à ce que les transferts de données puissent reprendre dans le cadre de la décision d'adéquation.
Que signifie cette décision pour les transferts de données ?
Bien entendu, cette affaire a des implications qui vont bien au-delà de Facebook. De nombreux fournisseurs de services américains marchent sur des œufs en ce qui concerne les transferts de données. Compte tenu de l'implication de l'EDPB, cette affaire pourrait créer un précédent très important, en particulier si le nouveau cadre de transfert de données ne survit pas à Schrems III.
Notamment, de nombreuses entreprises américaines, y compris des géants de la technologie comme Google et Apple, ont leurs filiales européennes en Irlande. De ce point de vue, un précédent irlandais pourrait être particulièrement perturbant pour les transferts de données entre l'UE et les États-Unis.
D'autre part, le CPD a la réputation de ne pas être terriblement proactif. Après tout, il a fallu dix ans, deux arrêts de la Cour de justice et l'intervention directe de l'EDPB pour que l'affaire aboutisse à une décision. Il est donc probable que le CPD ne sévira pas contre les transferts de données dès demain à la première heure.
Réflexions finales
Il a fallu un certain temps, mais nous commençons enfin à voir une application énergique du GDPR. Cinq autorités chargées de la protection des données ont déjà pris position contre Google Analytics, et Facebook sera probablement le prochain. Meta a récemment été condamné à une amende de 390 millions d'euros par le DPC pour avoir illégalement ciblé les utilisateurs avec des publicités personnalisées et pourrait finir par payer des dommages-intérêts élevés dans le cadre d'un recours collectif pour les mêmes raisons.
Pourquoi s'en préoccuper ?
La protection de la vie privée ne se résume pas aux lois, aux règles et aux amendes. La vie privée est un droit de l'homme. Chez Simple Analytics, nous pensons qu'Internet devrait être un endroit convivial pour les visiteurs de sites Web et respectueux de la vie privée. C'est pourquoi nous avons créé une alternative à Google Analytics qui n'utilise pas de cookies ni de données personnelles. Si vous vous sentez concerné, n'hésitez pas à nous essayer !