Dans sa dernière (et dernière) révélation de document d’avant Noël, le groupe européen de défense de la vie privée noyb a publié les détails d’une évaluation interne de 86 pages par Facebook de ses transferts (continus) de données personnelles européennes vers les États-Unis – et la conclusion qui en résulte peut être mieux résumé comme « L’empereur, Mark Zuckerberg, n’a pas de vêtements ».
La trame de fond alambiquée ici est que les transferts de données des utilisateurs de l’UE vers les États-Unis par Facebook se poursuivent – malgré deux décisions de la plus haute juridiction du bloc concluant que les États-Unis sont une juridiction risquée pour de telles données (alias Schrems I et Schrems II) ; et une ordonnance préliminaire de la principale DPA de l’UE de Facebook, il y a plus d’un an, disant qu’elle doit suspendre les transferts UE-États-Unis à la suite de la décision Schrems II susmentionnée.
Et si cela ne suffisait pas, c’est aussi presque un an depuis que la principale DPA européenne de Facebook, la Commission irlandaise de protection des données (DPC), a réglé une contestation judiciaire de noyb – acceptant en janvier dernier de finaliser « rapidement » la plainte en question.
Pourtant il y a toujours aucune décision finale de l’Irlande sur la légalité des transferts de données UE-États-Unis de Facebook – environ 8,5 ans après le dépôt de la plainte par le fondateur et président de noyb, Max Schrems (noyb n’existait même pas lorsqu’il a déposé cette plainte !).
Interrogé sur la question de savoir si une décision sur les transferts de données de Facebook sera – enfin, très longtemps – rendue cette année, le sous-commissaire du DPC, Graham Doyle, nous a dit que l’enquête est « assez bien avancée à ce stade » mais il a admis qu’elle ne sera pas finalisée dans les prochaines semaines.
Lorsqu’on lui a demandé si une décision serait rendue en janvier, Doyle a esquivé en spécifiant un délai – affirmant que le DPC ne savait pas « exactement quand » la décision serait prise.
Alors peut-être que 2022 sera – enfin – l’année des comptes pour Facebook.
Mais, sinon, 2022 pourrait bien être une année de calculs importants pour le DPC irlandais, qui fait maintenant l’objet d’un examen minutieux sur le rythme calme et la forme alambiquée de ses mises en application dans des affaires majeures contre des géants de la technologie comme Facebook.
La Commission européenne a averti plus tôt ce mois-ci qu’à moins qu’une application « efficace » n’arrive bientôt, elle interviendra et fera évoluer le bloc vers un système de surveillance centralisée.
Ainsi, le message des législateurs de l’UE aux APD comme l’Irlande (et, vraiment, surtout vers l’Irlande) est simple : utilisez vos pouvoirs d’exécution bientôt – ou vous les perdrez.
Pour en revenir à Facebook, si une ordonnance de suspension de transfert de données de l’UE est effectivement appliquée, le géant de la technologie devra apporter des changements drastiques à son infrastructure et/ou à son modèle commercial.
Ou il pourrait même fermer le service en Europe – une possibilité que Facebook a évoquée dans une précédente soumission légale – bien que son médecin en chef, Nick Clegg, ait rapidement nié qu’il le ferait un jour.
Facebook et Clegg ont préféré recourir à des tactiques de peur économique pour faire pression sur les législateurs du bloc contre l’application de l’état de droit contre l’empire d’extraction de données de la taille d’un État – suggérant que toute ordonnance de suspension contre les flux de données de Facebook causerait des dommages économiques aux PME européennes qui utilisent ses outils publicitaires pour cibler les consommateurs.
C’est une tactique classique de Big Tech pour faire pression contre une réglementation plus stricte de son propre pouvoir de marché en affirmant que les limites de ses opérations seront beaucoup plus dommageables pour les petites entreprises qui s’appuient sur des plates-formes puissantes pour atteindre les acheteurs potentiels.
L’industrie de la technologie publicitaire aime également impliquer que vous pouvez avoir la vie privée ou la concurrence, pas les deux.
Cependant, sur ce front, les autorités régionales de la concurrence deviennent de plus en plus sophistiquées dans leur évaluation du pouvoir des plateformes adtech, notamment en comprenant comment l’abus de données par les géants de la technologie peut en soi être un levier pour verrouiller le pouvoir de marché. (Voir, par exemple, l’affaire antitrust de l’Office fédéral allemand des cartels contre le superprofilage sans consentement des utilisateurs de Facebook.)
Donc, combien de piste il reste à un tel cadrage égoïste, alors que le bloc s’empresse de passer des règles ex ante aux géants de la technologie, est à débattre.
Facebook a réussi à utiliser les tribunaux pour reporter un compte à rebours final sur ses problèmes de transferts de données pendant des années. Mais son modèle commercial est désormais attaqué sur plusieurs fronts – le Parlement européen, par exemple, poussant à des restrictions plus strictes sur les publicités comportementales et à une interdiction pure et simple des modèles sombres dans la loi sur les marchés numériques.
Au cours des dernières semaines, noyb a également jeté un soleil plus désinfectant sur les manquements à l’application de la loi de l’UE – en ce qui concerne Facebook – en protestant contre le retrait d’une procédure en cours à son encontre par le DPC irlandais, après que le régulateur a tenté de lui faire signer un bâillon. en échange du maintien d’une partie à l’instance.
Le DPC a été accusé d’avoir agi dans l’intérêt de Facebook en essayant de garder confidentiels les documents de procédure sans base légale valable pour ordonner à des tiers de ne pas publier d’informations relatives aux procédures en cours.
(Et d’autres révélations de documents avant Noël par noyb ont rendu la lecture particulièrement gênante pour le DPC – qui peut être vu apparemment en train d’essayer d’insérer une tactique notoire de contournement du consentement GDPR de Facebook dans les directives du Comité européen de la protection des données (EDPB) – en plaidant pour autoriser les conditions générales être blanchi via une clause contractuelle – et se faire gifler en retour par d’autres APD de l’UE.)
Le mois dernier, l’organisation à but non lucratif a également franchi une nouvelle étape en déposant une plainte pour corruption criminelle contre le DPC – un autre signe de la frustration des militants européens de la protection de la vie privée face à l’inaction contre les géants de la technologie qui bafouent les droits.
Comme indiqué ci-dessus, malgré une plainte qui remonte aux divulgations de Snowden, deux décisions historiques de la CJUE et d’innombrables contestations judiciaires, Facebook continue de transmettre les données des Européens aux États-Unis – comme si l’État de droit ne pouvait pas y toucher.
Pourtant, en mai, la société a perdu devant la Haute Cour irlandaise après avoir tenté (et échoué) de contester la procédure du DPC ; y compris en faisant valoir que le DPC était trop hâtif et n’avait pas enquêté correctement avant d’envoyer l’ordonnance de suspension préliminaire. (NB : La plainte initiale remonte à juin 2013, elle approche donc à grands pas d’une décennie à ce stade.)
Les détails de l’évaluation de l’impact du transfert (TIA) de Facebook révélés par noyb hier sont longs sur les justifications invoquées pour que Facebook ignore la CJUE – et à court d’arguments de fond pour défendre l’affirmation de Facebook selon laquelle ce n’est absolument pas un problème pour lui de continuer à utiliser les données européennes pour les États-Unis pour le traitement malgré la décision de la CJUE selon laquelle il y a d’énormes implications juridiques si vous faites cela.
La CJUE a, non pas une, mais deux fois, annulé les accords de transfert phares entre l’UE et les États-Unis au motif que la loi américaine sur la surveillance est en conflit fatal avec les droits européens à la vie privée.
Et bien qu’en juillet 2020, le tribunal ait autorisé la possibilité que les données puissent être légalement transférées de l’UE vers des pays tiers, il a clairement indiqué que les APD doivent intervenir et suspendre les flux de données lorsqu’elles soupçonnent que les informations des personnes vont quelque part où c’est en danger.
Étant donné que le tribunal a simultanément annulé le bouclier de protection des données UE-États-Unis, les États-Unis ont été clairement identifiés comme un pays tiers à problème.
Ajoutez à cela que Facebook a le problème supplémentaire que son traitement de données soit soumis à la loi de surveillance américaine (via des programmes de la NSA comme PRISM). Il n’y a donc pas de solution facile pour les transferts de données de Facebook dans l’UE, comme nous l’avons déjà dit.
Cependant, avoir un régulateur amical qui ne se précipite pas pour faire quoi que ce soit pour des problèmes vraiment évidents est sûr d’aider, cependant…
Dans une déclaration accompagnant sa publication des détails du TIA de Facebook, Schrems a déclaré: «Facebook ignore la loi de l’UE depuis 8,5 ans maintenant. Les documents récemment publiés montrent qu’ils considèrent simplement que la Cour de justice a tort – et Facebook a raison. C’est une incroyable méconnaissance de l’État de droit, soutenue par l’absence de mesures coercitives de la part du DPC irlandais. Pas étonnant que Facebook veuille garder ce document confidentiel. Cependant, cela montre également que Facebook n’a aucune défense juridique sérieuse lorsqu’il continue à envoyer des données européennes aux États-Unis.
Noyb détaille le contenu du TIA via un certain nombre de vidéos, dont plusieurs où Schrems résume le contenu du document en détail. (Dans certains endroits en Europe, il fournit également des données du TIA lui-même, mais note qu’il retient ce contenu au Royaume-Uni et en Irlande en raison du risque juridique que Facebook et/ou le DPC intentent des poursuites SLAPP sans fondement contre lui pour tenter d’épuiser ses ressources limitées.)
D’après son analyse, l’une des tactiques de Facebook pour tenter de nier/d’échapper à la réalité juridique consiste à saisir les développements plus récents, tels que les clauses contractuelles types (CCS) mises à jour de la Commission ou la décision d’adéquation récemment accordée au Royaume-Uni (malgré les propres pratiques de surveillance de ce pays ) — d’invoquer comme nouvel élément de preuve que l’arrêt antérieur de la CJUE ne s’applique plus.
Cela signifie que Facebook a cherché à plusieurs reprises à faire valoir que le DPC était trop rapide pour arriver à une conclusion concernant la légalité de ses flux de données ; et que les circonstances sur le terrain ont changé d’une manière qui signifie que ses flux sont maintenant tout à fait corrects de toute façon.
Tout cela sert à souligner à quel point le fait de retarder l’application est en soi une stratégie clé pour que Facebook se soustrait à l’application du droit de l’UE.
Cela, à son tour, implique directement son principal régulateur de l’UE – car, en prenant un temps si minutieux sur les enquêtes, le régulateur génère suffisamment de temps et d’espace pour que Facebook propose de nouvelles lignes pour relancer cyniquement ses arguments contre toute application en cours.
En bref, cela permet un jeu perpétuel de taupe réglementaire qui donne à Facebook un coup de pouce pour poursuivre ses activités d’exploration de données comme d’habitude en attendant. Alors que les droits fondamentaux des citoyens de l’UE n’existent que sur papier.
Le DPC a refusé de commenter la quatrième lecture de l’Avent de noyb lorsque nous l’avons contacté.
Mais voici à nouveau l’évaluation de Schrems : « La DPC irlandaise est extrêmement lente et ne contrôle pas ces procédures. Facebook passe constamment à un autre argument, alors que le DPC n’a même pas décidé de la décision de 2013. Facebook domine cette procédure – au lieu du DPC.
Per noyb, le TIA de Facebook détaille également ce qu’il prétend être des « mesures supplémentaires » pour renforcer la protection des données – ce que l’EDPB a déclaré peut être possible pour les responsables du traitement de s’appliquer aux transferts vers des pays tiers à risque pour que ces flux soient conformes aux normes de l’UE.
Par exemple, un cryptage robuste de bout en bout peut, en théorie, être appliqué pour empêcher l’accès aux données sous une forme lisible lorsqu’elles se trouvent aux États-Unis.
Cependant, le modèle commercial de Facebook est basé sur le profilage des utilisateurs via son analyse des mégadonnées de leurs informations, il n’est donc certainement pas en mesure de verrouiller sa propre entreprise sur les données des personnes. Non sans un changement radical de modèle économique.
Sans surprise, alors, noyb a découvert que la section de la TIA sur les prétendues « mesures supplémentaires » ne contenait rien de plus qu’une (longue) liste de politiques et procédures standard de l’industrie. Donc pas d’étapes supplémentaires du tout, alors.
« Selon les documents que nous avons reçus, aucune mesure nouvelle ou pertinente n’a été prise par Facebook à la suite de l’arrêt de la CJUE du 16.6.2020 », note noyb.
Nous avons contacté l’EDPB pour avoir un avis sur les types de politiques et de procédures que la TIA de Facebook répertorie comme « mesures supplémentaires » – et nous mettrons à jour ce message avec toute réponse. Mettre à jour: Le secrétariat de l’EDPB a déclaré :
« [T]e RGPD introduit le nouveau principe transversal de responsabilité. Cela signifie que chaque organisation doit analyser sa propre situation et mettre en œuvre les mesures organisationnelles et techniques nécessaires à son cas particulier. Il s’agit d’une analyse au cas par cas, en fonction du risque présenté par le traitement des données personnelles par l’organisation.
Le même principe s’applique aux Recommandations sur les mesures complémentaires aux outils de transfert, qui peuvent être consultées ici.
Interrogé sur sa réponse à l’évaluation de noyb de son TIA, Facebook a envoyé cette déclaration – attribuée à un porte-parole de Meta :
Comme d’autres entreprises, nous avons suivi les règles et nous sommes appuyés sur des mécanismes de transfert internationaux pour transférer des données de manière sûre et sécurisée. Les entreprises ont besoin de règles mondiales claires, étayées par un État de droit fort, pour protéger les flux de données transatlantiques sur le long terme.