L’Europe se dirige vers une fermeture de Facebook après que l’Irlande a déclaré qu’elle envisage d’empêcher Meta d’envoyer les données des utilisateurs européens vers les États-Unis
La Commission irlandaise de protection des données (Irish Data Protection Commission – DPC) a informé cette semaine ses homologues européens qu’elle empêchera Meta, propriétaire de Facebook, d’envoyer les données des utilisateurs européens vers les États-Unis. Le projet de décision du régulateur irlandais s’attaque au dernier recours légal de Meta pour transférer de grandes quantités de données vers les États-Unis.
La DPC a émis une ordonnance provisoire en 2020 pour bloquer le mécanisme que Meta utilise pour transférer des données sur les utilisateurs de l’UE vers les États-Unis, après que la plus haute juridiction européenne a jugé que l’accord l’autorisant n’était pas valable en raison de problèmes de surveillance. La Cour de justice des Communautés européennes (CJCE) a en effet annulé un pacte entre l’UE et les États-Unis sur la circulation des données – appelé “Privacy Shield” (Bouclier de protection des données UE-États-Unis). L’accord a été négocié entre 2015 et 2016, mais n’a pas résisté face aux allégations de surveillance menée par les États-Unis.
Dans son arrêt, la CJCE a également rendu plus difficile l’utilisation d’un autre outil juridique que Meta et de nombreuses autres entreprises américaines utilisent pour transférer des données personnelles aux États-Unis, appelé clauses contractuelles standard (CCS). La décision rendue cette semaine par l’Irlande signifie que Facebook est contraint de cesser de s’appuyer sur les SCC également. La DPC est le principal régulateur de l’UE pour Meta et d’autres grandes entreprises technologiques, car leur siège européen est situé en Irlande. Meta a averti à plusieurs reprises qu’une telle décision entraînerait la fermeture de nombre de ses services en Europe.
Le géant des médias sociaux a surtout menacé de retirer Facebook et Instagram de l’Europe. « Si un nouveau cadre transatlantique de transfert de données n’est pas adopté et que nous ne sommes pas en mesure de continuer à nous appuyer sur les CSC ou de nous appuyer sur d’autres moyens alternatifs de transfert de données de l’Europe vers les États-Unis, nous serons probablement incapables d’offrir un certain nombre de nos produits et services les plus importants, y compris Facebook et Instagram, en Europe », a déclaré Meta dans un dépôt à la Securities and Exchange Commission (SEC) des États-Unis en mars de cette année.
En vertu des règles de l’UE en matière de protection de la vie privée (RGPD) introduite en 2018, les régulateurs du bloc ont un mois pour donner leur avis avant qu’une décision définitive ne soit prise. Toute objection, qui a régulièrement été déposée dans de tels cas, pourrait ajouter des mois au calendrier. Si l’ordre de blocage est confirmé par le groupe des régulateurs, il est susceptible de jeter un froid dans le milieu des affaires au sens large également. Les entreprises américaines se grattent la tête pour savoir comment continuer à envoyer des données de l’Europe vers les États-Unis après la décision de la CJCE en 2020.
La directrice de la DPC, Helen Dixon, a déclaré en février dernier qu’un arrêt des flux de données de Meta ne toucherait pas immédiatement d’autres grandes entreprises technologiques, mais qu’il y aurait potentiellement “des centaines de milliers d’entités” qui devraient être examinées. En outre, la décision irlandaise ne s’appliquerait pas à la filiale WhatsApp de Meta, car elle a un contrôleur de données différent au sein du groupe. « Ce projet de décision concerne un conflit entre le droit européen et le droit américain qui est en cours de résolution », a déclaré jeudi un porte-parole de Meta. L’entreprise espère qu’un nouvel accord sera trouvé d’ici là.
L’UE et les États-Unis sont en train de négocier un nouveau texte sur le transfert de données qui permettrait à des entreprises comme Meta de continuer à expédier des données outre-Atlantique, indépendamment de l’ordonnance irlandaise. En mars, Bruxelles et Washington ont conclu un accord préliminaire sur le plan politique, mais les négociations sur les détails juridiques sont au point mort et il est peu probable qu’un accord final soit conclu avant la fin de l’année. Les responsables de l’UE ont en effet déclaré qu’il faudrait probablement des mois pour le transformer cet accord politique en un accord juridique définitif.
« Nous nous félicitons de l’accord entre l’UE et les États-Unis pour un nouveau cadre juridique qui permettra le transfert continu de données à travers les frontières, et nous espérons que ce cadre nous permettra de garder les familles, les communautés et les économies connectées », a déclaré Meta. Selon des analystes, l’accord pourrait ne pas aboutir et dans ce cas, les Européens risquent de ne plus pouvoir utiliser Facebook. Le réseau social est considéré comme un “fournisseur de services de communication électronique” et est donc obligé de partager des données avec les services de renseignement américains si ceux-ci le demandent.
Cela signifie que les services de renseignement américains peuvent accéder aux données personnelles des citoyens européens. Entre-temps, le mandat du RGPD est de protéger la vie privée des citoyens de l’UE. Et il est difficile de garantir cela lorsque des données personnelles sont envoyées de l’UE vers les serveurs de Facebook aux États-Unis. Un conflit non résolu sur le transfert transatlantique de données pourrait avoir un impact significatif sur (presque) tous les Européens. Il semble difficile de penser que Facebook ne soit pas disponible pour les citoyens de l’UE, mais cela pourrait très bien devenir une réalité.
Par ailleurs, Google pourrait également être menacé par la décision irlandaise. L’arrêt Schrems II, rendu le 16 juillet 2020 après l’annulation du régime de transferts de données entre l’Union européenne et les États-Unis, n’a pas suscité de réactions de la part des agences de protection des données de l’UE avant le début de cette année, lorsque l’Autriche a réagi en interdisant l’utilisation de Google Analytics. En France, la CNIL a rapidement suivi, et le régulateur italien Garante a également interdit Google Analytics la semaine dernière. Il est probable que d’autres États membres de l’UE emboîtent le pas dans les mois à venir.
Simple Analytics, une alternative européenne à Google Analytics, se réjouit de cette décision et espère que les régulateurs européens poursuivront sur cette lancée. « Cela peut sembler dur, mais finalement, le RGPD montre les dents. La vie privée est un droit humain et doit être traitée comme telle. Google et Facebook sont devenus les plus grandes entreprises monopolistiques du monde en monétisant nos données. Ce modèle montre des fissures, car de plus en plus de consommateurs exigent le respect de la vie privée », a écrit jeudi dans un billet de blogue Iron Brands, responsable du marketing chez Simple Analytics.
Simple Analytics estime que sa solution privilégie la confidentialité. « Pour créer un Web plus ouvert, nous devons adopter un état d’esprit différent. Nous devons trouver des moyens de ne plus dépendre des plus grandes sociétés de publicité du monde. Nous devons vraiment trouver comment devenir indépendants de ces bêtes dévoreuses de données. Pour changer cela, nous avons besoin d’alternatives qui nous permettent de le faire. Si ce message résonne en vous, vous devriez consulter toutes ces alternatives basées dans l’UE pour les produits numériques et voir par vous-même », a ajouté Brands.
Lire aussi : Facebook admet qu’il ne sait pas ce qu’il fait avec vos données privées
Sources : Developpez – La Commission irlandaise de protection des données
