Meta a prévenu qu'elle pourrait quitter l'Europe

Début février, Meta, propriétaire de Facebook, a déclaré qu'elle pourrait être amenée à quitter l'Europe. Puis, elle a déclaré qu'elle ne menaçait absolument pas de quitter l'Europe. Des politiciens européens ont dit en plaisantant qu'ils souhaitaient qu'elle le fasse et que l'Europe se porterait mieux sans Facebook. Ce va-et-vient portait sur l'avenir des transferts internationaux de données, terme désignant la manière dont les entreprises déplacent les informations personnelles des usagers et dont elles protègent ces derniers des espions. Grâce à une série d'actions en justice intentées par l'avocat et militant autrichien de la protection de la vie privée Max Schrems au cours de la dernière décennie, les règles qui régissent la manière dont les grandes et petites entreprises technologiques traitent les informations personnelles de leurs utilisateurs européens sont en pleine évolution.


Il existe des accords internationaux stricts régissant vos informations personnelles

Lorsqu'une personne en Europe se connecte ou publie sur Facebook, ses données personnelles, telles que sa photo de profil et ses centres d'intérêt, sont collectées et stockées dans les centres de données de Meta. Une partie au moins de ces informations est envoyée aux États-Unis, où se trouvent les sièges sociaux des grandes entreprises technologiques. « C'est là que se trouve leur siège, ils disposent d'un espace de stockage, c'est plus efficace et moins coûteux », selon Jörg Hladjk, expert en cybersécurité chez Jones Day.

Le problème est que toute donnée quittant l'UE ne peut être transférée que dans un pays dont les normes de confidentialité sont jugées équivalentes. Les données qui se trouvent sur le sol américain peuvent être récupérées par les espions américains, ce que nous savons depuis que l'ancien contractant de la National Security Agency (NSA), Edward Snowden, a révélé les programmes américains de surveillance en ligne en 2013.

Les entreprises technologiques s'appuient désormais sur une solution de contournement

Les entreprises technologiques sont donc dans l'incertitude. Alors que les négociateurs des États-Unis et de l'Union européenne s'affrontent pour remplacer le bouclier de protection des données, les entreprises technologiques s'appuient sur des "clauses contractuelles types". Ces clauses sont des garanties juridiques élaborées par l'UE, dans lesquelles les entreprises technologiques copient et collent dans un contrat un langage standard sur le partage des données.

Les clauses contractuelles types sont une solution de contournement qui permet aux entreprises technologiques de continuer à transférer légalement des données de l'autre côté de l'Atlantique, mais elles n'ont jamais été conçues pour être le principal mécanisme permettant à des milliards de dollars de données de circuler chaque année. Ils ne sont pas non plus très flexibles et peuvent être difficiles à mettre en œuvre, a commenté M. Hladjk de Jones Day.

Si l'Irlande estime que l'utilisation des clauses contractuelles types par Meta n'est pas conforme aux règles européennes en matière de protection de la vie privée, cela pourrait avoir un effet d'entraînement plus large, à moins que les négociateurs de la Commission européenne ne parviennent à un accord sur un mécanisme de transfert de données totalement nouveau.

Dans son rapport annuel pour l'année se terminant le 31 décembre, Meta a averti que ce flou constituait un risque important pour son activité, ce qui a été largement interprété comme une menace de quitter l'Europe. L'entreprise a explicitement déclaré que si l'Irlande supprime complètement les clauses standard sur les données sans les remplacer, il lui sera très difficile de proposer des services comme Facebook et Instagram en Europe. « Pendant de nombreuses années, le cadre juridique soutenant le transfert de données outre-Atlantique a connu de graves perturbations », s'est plaint Markus Reinisch, l'un des responsables politiques de l'entreprise, dans un post de suivi.

Il est peu probable que Meta se retire vraiment de l'Europe

« Meta et d'autres géants de la technologie ne quitteront probablement pas l'Europe », selon Marco Bosher, avocat spécialisé dans la confidentialité des données chez Noyb, le groupe de défense des droits à la vie privée cofondé par Markus Schrems. « L'idée que les transferts de données entre l'Europe et les États-Unis s'arrêteraient réellement est fantaisiste », a-t-il ajouté. L'infrastructure physique qui facilite les transferts de données fonctionne toujours ; il s'agit en fait d'une bataille juridique entre les deux côtés de l'Atlantique. « Elles sont nécessaires au fonctionnement de l'ensemble de l'économie mondiale. Une grande partie de l'infrastructure dorsale de l'internet se trouve aux États-Unis, la plupart des plus gros serveurs sont aux États-Unis », a-t-il déclaré.

Mais on ne sait toujours pas à quoi pourraient ressembler les nouvelles protections des données des utilisateurs européens. Une solution simple consisterait à construire de nouveaux centres de données en Europe pour protéger les informations des regards indiscrets. Mais le problème est que les lois américaines sur la surveillance s'appliquent à l'échelle mondiale. Schrems et son équipe souhaitent des protections plus solides dans l'ensemble. « La NSA ne se soucie pas de savoir si les données sont stockées sur un serveur aux États-Unis ou sur un serveur en Europe », a déclaré Bosher.

Il y a également « un point d'interrogation quant à la faisabilité », a déclaré Hladjk, car de nombreuses entreprises technologiques souhaitent toujours travailler dans des centres de données américains, comme le traitement des données à moindre coût pour leurs activités. De plus, il serait fastidieux, voire impossible, pour les petites et moyennes entreprises de construire un centre de données européen. Prenez les plans de Meta pour un nouveau centre de données aux Pays-Bas : la société envisage un terrain de 166 hectares (soit l'équivalent de plus de 400 terrains de football, bout à bout) de serveurs et d'équipements techniques coûteux.

Les entreprises technologiques pourraient également proposer leurs propres solutions en matière de confidentialité des données des utilisateurs

Elles pourraient utiliser le chiffrement comme moyen de renforcer les droits des Européens en matière de protection de la vie privée, mais elles devraient veiller à ce que les agences américaines ne puissent pas demander aux entreprises technologiques la possibilité d'accéder à ces données et de les déchiffrer.

Une autre option serait une sorte de pare-feu pour les utilisateurs européens. « Ils devraient créer, disons, des espaces sécurisés européens pour les données, où elles seraient à l'abri de la surveillance américaine. Elles devraient donc rester géographiquement dans l'UE, mais être également protégées de l'accès des services de surveillance américains », a déclaré Bosher.

Mais la manière dont cela fonctionnerait n'est pas claire, et les entreprises technologiques continuent de patauger dans l'incertitude juridique.
L'UE aura à cœur de trouver une nouvelle solution plus solide. Il serait politiquement embarrassant qu'un autre mécanisme de transfert de données soit invalidé par un tribunal. Margrethe Vestager, vice-présidente exécutive chargée de la stratégie numérique, a déclaré en février qu'il est « hautement prioritaire » de convenir d'un remplacement du Privacy Shield, mais que ce n'est « pas facile ». Ces négociations sont « liées à la manière dont les agences de sécurité nationale mènent leurs activités aux États-Unis… Je suis convaincue que, finalement, ils parviendront à un accord", a-t-elle ajouté », a déclaré le Dr Gabriela Zanfir-Fortuna, vice-présidente chargée de la vie privée mondiale au Future of Privacy Forum.

Sources : Meta, SEC

Et vous ?

Que pensez-vous des actuelles règles en matière de transfert transfrontalier de données ?
Que pensez-vous des différentes solutions proposées plus haut ? Sont-elles, à votre avis, dans l’ordre du réalisable ?
Selon vous, les gens se porteraient-ils mieux sans Facebook et Instagram ? Pourquoi ?

Voir aussi :

« Meta ne menace pas de partir de l'UE bien que cette perspective enchante plus d'un », rétorque la société mère de Facebook, pour qui les règles du transfert transatlantique de données sont floues

Bruno Le Maire et son homologue allemand, Robert Habeck, affirment que l'Europe se porterait mieux sans Facebook, à la suite de la menace de Meta de retirer Facebook et Instagram du marché européen

Meta menace de retirer Facebook et Instagram du marché européen, si le groupe n'est plus autorisé à échanger les données des utilisateurs européens avec les États-Unis