La DPC a émis une ordonnance provisoire en 2020 pour bloquer le mécanisme que Meta utilise pour transférer des données sur les utilisateurs de l'UE vers les États-Unis, après que la plus haute juridiction européenne a jugé que l'accord l'autorisant n'était pas valable en raison de problèmes de surveillance. La Cour de justice des Communautés européennes (CJCE) a en effet annulé un pacte entre l'UE et les États-Unis sur la circulation des données - appelé "Privacy Shield" (Bouclier de protection des données UE-États-Unis). L'accord a été négocié entre 2015 et 2016, mais n'a pas résisté face aux allégations de surveillance menée par les États-Unis.
Dans son arrêt, la CJCE a également rendu plus difficile l'utilisation d'un autre outil juridique que Meta et de nombreuses autres entreprises américaines utilisent pour transférer des données personnelles aux États-Unis, appelé clauses contractuelles standard (CCS). La décision rendue cette semaine par l'Irlande signifie que Facebook est contraint de cesser de s'appuyer sur les SCC également. La DPC est le principal régulateur de l'UE pour Meta et d'autres grandes entreprises technologiques, car leur siège européen est situé en Irlande. Meta a averti à plusieurs reprises qu'une telle décision entraînerait la fermeture de nombre de ses services en Europe.
Le géant des médias sociaux a surtout menacé de retirer Facebook et Instagram de l'Europe. « Si un nouveau cadre transatlantique de transfert de données n'est pas adopté et que nous ne sommes pas en mesure de continuer à nous appuyer sur les CSC ou de nous appuyer sur d'autres moyens alternatifs de transfert de données de l'Europe vers les États-Unis, nous serons probablement incapables d'offrir un certain nombre de nos produits et services les plus importants, y compris Facebook et Instagram, en Europe », a déclaré Meta dans un dépôt à la Securities and Exchange Commission (SEC) des États-Unis en mars de cette année.
En vertu des règles de l'UE en matière de protection de la vie privée (RGPD) introduite en 2018, les régulateurs du bloc ont un mois pour donner leur avis avant qu'une décision définitive ne soit prise. Toute objection, qui a régulièrement été déposée dans de tels cas, pourrait ajouter des mois au calendrier. Si l'ordre de blocage est confirmé par le groupe des régulateurs, il est susceptible de jeter un froid dans le milieu des affaires au sens large également. Les entreprises américaines se grattent la tête pour savoir comment continuer à envoyer des données de l'Europe vers les États-Unis après la décision de la CJCE en 2020.
La directrice de la DPC, Helen Dixon, a déclaré en février dernier qu'un arrêt des flux de données de Meta ne toucherait pas immédiatement d'autres grandes entreprises technologiques, mais qu'il y aurait potentiellement "des centaines de milliers d'entités" qui devraient être examinées. En outre, la décision irlandaise ne s'appliquerait pas à la filiale WhatsApp de Meta, car elle a un contrôleur de données différent au sein du groupe. « Ce projet de décision concerne un conflit entre le droit européen et le droit américain qui est en cours de résolution », a déclaré jeudi un porte-parole de Meta. L'entreprise espère qu'un nouvel accord sera trouvé d'ici là.
L'UE et les États-Unis sont en train de négocier un nouveau texte sur le transfert de données qui permettrait à des entreprises comme Meta de continuer à expédier des données outre-Atlantique, indépendamment de l'ordonnance irlandaise. En mars, Bruxelles et Washington ont conclu un accord préliminaire sur le plan politique, mais les négociations sur les détails juridiques sont au point mort et il est peu probable qu'un accord final soit conclu avant la fin de l'année. Les responsables de l'UE ont en effet déclaré qu'il faudrait probablement des mois pour le transformer cet accord politique en un accord juridique définitif.
« Nous nous félicitons de l'accord entre l'UE et les États-Unis pour un nouveau cadre juridique qui permettra le transfert continu de données à travers les frontières, et nous espérons que ce cadre nous permettra de garder les familles, les communautés et les économies connectées », a déclaré Meta. Selon des analystes, l'accord pourrait ne pas aboutir et dans ce cas, les Européens risquent de ne plus pouvoir utiliser Facebook. Le réseau social est considéré comme un "fournisseur de services de communication électronique" et est donc obligé de partager des données avec les services de renseignement américains si ceux-ci le demandent.
Cela signifie que les services de renseignement américains peuvent accéder aux données personnelles des citoyens européens. Entre-temps, le mandat du RGPD est de protéger la vie privée des citoyens de l'UE. Et il est difficile de garantir cela lorsque des données personnelles sont envoyées de l'UE vers les serveurs de Facebook aux États-Unis. Un conflit non résolu sur le transfert transatlantique de données pourrait avoir un impact significatif sur (presque) tous les Européens. Il semble difficile de penser que Facebook ne soit pas disponible pour les citoyens de l'UE, mais cela pourrait très bien devenir une réalité.
Par ailleurs, Google pourrait également être menacé par la décision irlandaise. L'arrêt Schrems II, rendu le 16 juillet 2020 après l'annulation du régime de transferts de données entre l’Union européenne et les États-Unis, n'a pas suscité de réactions de la part des agences de protection des données de l'UE avant le début de cette année, lorsque l'Autriche a réagi en interdisant l'utilisation de Google Analytics. En France, la CNIL a rapidement suivi, et le régulateur italien Garante a également interdit Google Analytics la semaine dernière. Il est probable que d'autres États membres de l'UE emboîtent le pas dans les mois à venir.
Simple Analytics, une alternative européenne à Google Analytics, se réjouit de cette décision et espère que les régulateurs européens poursuivront sur cette lancée. « Cela peut sembler dur, mais finalement, le RGPD montre les dents. La vie privée est un droit humain et doit être traitée comme telle. Google et Facebook sont devenus les plus grandes entreprises monopolistiques du monde en monétisant nos données. Ce modèle montre des fissures, car de plus en plus de consommateurs exigent le respect de la vie privée », a écrit jeudi dans un billet de blogue Iron Brands, responsable du marketing chez Simple Analytics.
Simple Analytics estime que sa solution privilégie la confidentialité. « Pour créer un Web plus ouvert, nous devons adopter un état d'esprit différent. Nous devons trouver des moyens de ne plus dépendre des plus grandes sociétés de publicité du monde. Nous devons vraiment trouver comment devenir indépendants de ces bêtes dévoreuses de données. Pour changer cela, nous avons besoin d'alternatives qui nous permettent de le faire. Si ce message résonne en vous, vous devriez consulter toutes ces alternatives basées dans l'UE pour les produits numériques et voir par vous-même », a ajouté Brands.
Source : La Commission irlandaise de protection des données
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la décision de commission irlandaise de protection des données d'interdire à Meta les transferts de données outre-Atlantique ?
Pensez-vous qu'il faut continuer de transfert des données personnelles des Européens vers les États-Unis ?
Selon vous, est-il possible de garantir la confidentialité des données des Européens lorsqu'elles sont transférées vers les États-Unis ?
Que pensez-vous des allégations selon lesquelles Facebook et Instagram pourraient cesser de fonctionner en Europe ?
Selon vous, en quoi la fermeture de Facebook et d'Instagram en Europe pourrait-elle impacter les personnes et les entreprises ?
Que pensez-vous de l'interdiction de Google Analytics en France et dans d'autres pays de l'Europe ?
Voir aussi
Facebook menace de fermer ses plateformes Facebook et Instagram en Europe suite à une décision de justice qui l'oblige à ne plus rapatrier les données personnelles d'utilisateurs européens aux USA
Meta a prévenu qu'elle pourrait quitter l'Europe et les mécanismes de partage des données apparus après les révélations d'espionnage de Snowden sont au cœur du problème
Privacy Shield : la Cour de justice de l'UE annule l'accord de transfert des données personnelles entre l'UE et les USA, une victoire pour les défenseurs des libertés
La CNIL italienne interdit à son tour l'utilisation de Google Analytics parce qu'elle n'a « pas trouvé de garanties adéquates pour les transferts de données vers les États-Unis »
La CNIL met en demeure un gestionnaire de sites français pour son usage de Google Analytics. Le recours à Google Analytics va-t-il être remis en cause en Europe ?