Nous nous y attendions, et c'est arrivé : Meta a reçu l'ordre d'interrompre les transferts de données américains pour Facebook. L'entreprise a également été condamnée à une amende de 1,2 milliard d'euros (oui, vous avez bien lu) pour avoir enfreint les règles du GDPR en matière de transfert de données.
La Commission irlandaise de protection des données (DPC) a annoncé la décision aujourd'hui dans un communiqué de presse publié sur son site web. Le texte intégral est disponible sur le site web du Comité européen de la protection des données, ainsi que la décision du Comité qui a conduit à l'amende. Sans surprise, Meta a annoncé qu'elle allait contester la décision.
Cette affaire est très importante. La décision aura probablement un impact profond sur les affaires de transfert de données au niveau européen, et elle pourrait conduire à un black-out de Facebook pour l'Europe dans un avenir proche. En d'autres termes, l'affaire vaut la peine d'être creusée.
Plongeons dans l'histoire !
L'histoire
L'enquête du CPD sur Facebook a débuté il y a trois ans, à la suite d'une plainte déposée en 2013 par Max Schrems (oui, le gars des décisions Schrems I et II). L'histoire de cette décision s'étend sur une dizaine d'années, alors préparez votre déjeuner (ou sautez le pas, nous ne vous en voudrons pas).
Tout a commencé lorsque le dénonciateur de la NSA, Edward Snowden, a divulgué des fichiers confidentiels sur les opérations de l'agence, notamment sur les programmes de surveillance électronique à grande échelle Upstream et Prism.
Les révélations de Snowden ont incité M. Schrems à déposer une plainte auprès de l'autorité autrichienne de protection des données contre les transferts de données de Facebook vers les États-Unis. Il a affirmé que les données personnelles transférées à Facebook aux États-Unis n'étaient pas sûres en raison de l'ampleur et de la nature indiscriminée de la surveillance électronique exercée par le gouvernement américain sur les données étrangères.
L'autorité autrichienne a transmis la plainte à l'Irlande, où Facebook (aujourd'hui Meta) possède sa principale filiale européenne. Ce fut le début d'une bataille juridique sans fin, au cours de laquelle Facebook a tenté par tous les moyens de retarder la décision finale. Pendant des années, l'affaire a fait des allers-retours entre le DPC, les tribunaux administratifs irlandais et la Cour de justice de l'UE.
La Cour de justice a adopté deux arrêts relatifs à la plainte de M. Schrems, qui ont tous deux eu un impact très important sur le droit européen en matière de protection de la vie privée. En 2015, l'arrêt Schrems I a invalidé l'accord Safe Harbor, qui simplifiait considérablement les transferts de données entre l'UE et les États-Unis. Un nouvel accord, connu sous le nom de Privacy Shield, a ensuite remplacé le Safe Harbor, mais la Cour l'a de nouveau invalidé dans l'arrêt Schrems II de 2020.
L'arrêt Schrems II ne signifie pas que les données personnelles ne peuvent pas être envoyées aux États-Unis. Il complique toutefois le transfert légal des données. C'est une longue histoire, que nous avons déjà abordée en détail. En bref, les transferts de données vers les États-Unis nécessitent des garanties supplémentaires par rapport à d'autres pays afin de protéger les données à caractère personnel contre le risque d'accès par le gouvernement.
Malheureusement, ces garanties sont difficiles à mettre en œuvre et totalement impossibles pour certains services, notamment Facebook et Google Analytics. Par conséquent, l'utilisation de certains fournisseurs de services constitue une violation du GDPR, et les entreprises qui s'appuient sur eux marchent sur des œufs en ce qui concerne leurs transferts de données.
Après une décennie et deux décisions historiques, le DPC a fini par rédiger une décision de suspension des transferts de données de Facebook et l'a soumise au Comité européen de protection des données (l'institution de l'UE où siègent toutes les autorités chargées de la protection des données). Le CEPD a réglé l'affaire le mois dernier et a publié sa décision aujourd'hui, ainsi que la décision ultérieure et finale du CPD dans cette affaire.
En dehors de Facebook, il s'est passé beaucoup d'autres choses après Schrems II. L'ONG noyb (dont M. Schrems est lui-même membre) a déposé une série de plaintes stratégiques contre Google Analytics afin d'inciter les autorités européennes à appliquer strictement l'arrêt Schrems II. Plusieurs autorités se sont ainsi prononcées contre Google Analytics, l'interdisant pratiquement dans leurs États membres.
Entre l'affaire Facebook et les décisions concernant Google Analytics, il n'est pas surprenant que les transferts de données soient un sujet brûlant en ce moment.
La décision
Le contenu juridique de la décision du CPD n'est pas nouveau. Les prémisses de la décision sont directement issues de l'arrêt Schrems II et ont déjà été clarifiées par d'autres autorités dans le cadre de l'affaire Google Analytics :
- Premièrement, les États-Unis ne sont pas une destination sûre pour les transferts de données
- Deuxièmement, les clauses contractuelles standard (une garantie contractuelle en vertu du GDPR) sont insuffisantes pour protéger les données personnelles transférées aux États-Unis. Les contrats avec les entreprises ne résolvent pas le vrai problème car ils ne limitent pas le pouvoir de surveillance du gouvernement.
- troisièmement, lors du transfert de données vers les États-Unis, des garanties supplémentaires doivent être mises en œuvre en plus des garanties généralement requises par le GDPR. C'est le seul moyen de préserver la confidentialité des données à caractère personnel.
Le CPD a constaté que les clauses contractuelles standard en place pour le transfert de données (y compris les clauses les plus récentes rédigées en 2021 par la Commission de l'UE) ne contiennent aucune garantie efficace contre la surveillance américaine. Le CPD a également estimé que Meta Ireland n'avait pas mis en œuvre de garanties supplémentaires efficaces pour ses transferts de données vers les plateformes Meta aux États-Unis. Par conséquent, les transferts de données sont illégaux au regard du GDPR.
Bien que le contenu juridique de la décision ne soit en rien nouveau, le profil élevé de l'affaire lui confère une grande importance.
Les défendeurs dans les affaires Google Analytics étaient des entreprises qui utilisaient le service sur leur site web. Elles n'étaient que du menu fretin par rapport à Meta : une énorme multinationale dotée de vastes ressources, d'une grande influence politique et d'une activité de mise en conformité qui se chiffre en millions. Même le gouvernement américain s'est impliqué dans l'affaire et a déposé des mémoires soutenant les arguments de Meta.
Et pourtant, Meta a perdu. Des milliards de recettes étaient en jeu, mais l'entreprise n'a pas pu sécuriser les transferts de données vers les États-Unis en dépit de ses énormes ressources et de son savoir-faire. Cela montre sans l'ombre d'un doute que certains transferts de données ne peuvent pas être conformes au GDPR quoi qu'il arrive.
L'implication de l'EDPB est également très importante dans ce cas. Comme nous l'avons mentionné, il y a eu des allers-retours entre le DPC et l'EDPB, un peu comme dans le cas de la publicité ciblée de Meta (nous avons écrit à ce sujet ici).
Il est important de noter qu'aucune autorité européenne ne s'est opposée à l'arrêt des transferts de données de Meta. Il y a eu quelques désaccords sur l'amende (que le CPD ne voulait pas imposer) et sur d'autres aspects de la décision, d'où l'intervention de l'EDPB. Cependant, tout le monde était d'accord sur le point crucial : Les transferts de données de Meta sont illégaux.
L'EDPB a donc trouvé une position commune sur les transferts de données. Cela signifie que toutes les autorités européennes chargées de la protection de la vie privée l'ont fait, car ce sont elles qui siègent à l'EDPB.
Comme nous l'avons expliqué, l'EDPB a joué un rôle indirect dans les décisions relatives à Google Analytics en coordonnant la réponse au niveau européen. Mais avec Meta, l'EDPB s'est impliqué directement et a même poussé à une amende à dix chiffres. Le message n'a jamais été aussi clair : la récréation est terminée. Il est temps de prendre le GDPR au sérieux.
L'amende elle-même est également un aspect intéressant de la décision. Non seulement parce qu'elle est énorme, mais aussi en raison de la manière dont elle a été calculée. Elle n'a pas été calculée sur la base du chiffre d'affaires annuel global de Meta Platforms Ireland, mais sur celui de l'ensemble du groupe Meta. L'amende infligée à Meta Platforms Ireland était donc proportionnelle aux énormes sommes d'argent gagnées par l'ensemble du groupe de sociétés Meta, d'où son montant élevé !
Si les régulateurs s'en tiennent à cette approche à l'avenir, les multinationales ne pourront plus limiter le risque de non-conformité en invoquant la taille relativement petite de leurs filiales européennes.
Il convient également de noter que les amendes prévues par le GDPR sont plafonnées à "seulement" 4 % du chiffre d'affaires annuel mondial d'une entreprise. En revanche, la nouvelle loi sur les services numériques et la loi sur les marchés numériques de l'UE prévoient des amendes allant jusqu'à 6 % et 10 %, respectivement. Si les régulateurs s'en tiennent à la même approche, nous pourrions assister à l'avenir à l'imposition d'amendes très élevées.
(Mise à jour : les nouvelles lignes directrices de l'EDPB sur le calcul des amendes confirment cette approche pour les violations du GDPR).
Que se passe-t-il ensuite ?
Meta dispose maintenant de six mois pour mettre fin à ses transferts de données et effacer les données à caractère personnel déjà transférées aux États-Unis (le calendrier est en fait légèrement plus compliqué, mais c'est l'essentiel).
Comme nous l'avons expliqué il y a peu, cela ne signifie pas que Facebook fermera demain. La possibilité d'un black-out de Facebook en Europe est réelle, mais elle dépend de certains facteurs.
L'UE et les États-Unis ont pris des mesures pour mettre en place un nouveau cadre de transfert de données (appelé "cadre transatlantique de protection des données") entre l'UE et les États-Unis. Sur la base de ce cadre, la Commission européenne a ensuite rédigé une décision d'adéquation pour les États-Unis, c'est-à-dire une décision qui désigne un pays comme une destination sûre pour les données et facilite considérablement les transferts de données. Le projet est en attente de l'approbation des États membres et a toutes les chances d'être adopté (malgré l'avis très majoritairement négatif du Parlement européen).
S'il est approuvé avant la date limite imposée par la DPC, la décision d'adéquation sauvera Meta par la cloche. Mais cela semble délicat.
Le nouveau cadre pour le transfert de données est basé sur un système complexe de surveillance des activités des services de renseignement américains concernant les données étrangères. Ce système doit être entièrement mis en œuvre avant que la décision d'adéquation puisse être finalisée. Par exemple, les membres de la Cour de contrôle de la protection des données n'ont pas encore été nommés et l'UE n'a pas été désignée comme "État admissible" (c'est-à-dire une entité ou une organisation internationale à laquelle le système s'applique). Il est difficile de dire si six mois suffiront aux États-Unis pour achever la mise en œuvre du système et à la Commission pour finaliser la décision d'adéquation.
Si la décision est adoptée plus tard, les choses seront plus compliquées pour Meta. L'entreprise a l'intention de contester la décision et de demander un sursis pour l'ordonnance de la DPC. Cela pourrait lui permettre de gagner du temps.
Ainsi, la panne de Facebook tant redoutée dépend en fin de compte de la date de la décision d'adéquation et de l'issue des futures actions en justice de Meta.
Bien entendu, l'enjeu ne se limite pas à Facebook. D'innombrables entreprises européennes font appel à des fournisseurs de services basés aux États-Unis, et les transferts de données requis ne sont pas tous conformes au GDPR.
L'avenir du transfert de données entre l'UE et les États-Unis dépend en fin de compte du cadre transatlantique de protection des données. Le tableau n'est pas très rose : la Cour de justice de l'UE a déjà invalidé deux cadres de ce type parce qu'ils ne protégeaient pas suffisamment les données européennes, et le nouveau cadre fera certainement l'objet d'un examen minutieux. En d'autres termes, Schrems III se profile déjà à l'horizon.
Il est difficile de dire comment Schrems III se déroulera : le nouveau cadre est certainement un pas en avant par rapport au passé, mais certaines de ses parties pourraient encore poser problème à la Cour de justice. Le fait que le Parlement européen ait voté contre le projet à une écrasante majorité n'a certainement pas aidé. Bien que le vote du Parlement ne soit pas contraignant, il pourrait inciter la Cour à procéder à un examen plus strict du nouveau cadre.
En résumé, huit ans après Schrems I, l'avenir des transferts de données entre l'UE et les États-Unis reste incertain.
Conclusions
Il aura fallu dix ans de plus que prévu, mais nous sommes heureux de voir enfin la législation sur la protection de la vie privée correctement appliquée à l'encontre de Meta.
Nous sommes également ravis de vous parler de cette affaire sur notre blog ! Nous espérons qu'en réduisant le jargon juridique au minimum, nous pourrons faire en sorte que notre public soit aussi passionné que nous par le droit de la protection de la vie privée.
C'est notre passion pour la protection de la vie privée qui a donné naissance à Simple Analytics. Nous pensons que nous devrions tous respecter la vie privée et essayer d'en faire plus avec moins de données personnelles. Lorsqu'il s'agit d'analyse web, Simple Analytics vous permet de faire exactement cela en vous fournissant des informations sans collecter de données personnelles. La protection de la vie privée est notre priorité, et non une réflexion après coup.
Nous pensons qu'Internet doit être un lieu indépendant et convivial pour les visiteurs de sites Web. Si vous êtes d'accord avec cela, n'hésitez pas à nous essayer !