Facebook a reçu une décision préliminaire « révisée » de son principal régulateur européen de la confidentialité avec des implications pour sa capacité à continuer d’exporter les données des utilisateurs vers les États-Unis, a appris TechCrunch.
« Meta dispose de 28 jours pour présenter ses observations sur cette décision préliminaire, après quoi nous préparerons un projet de décision au titre de l’article 60 pour les autres autorités de surveillance concernées (CSA). Je prévois que cela se produira en avril », nous a dit un sous-commissaire à la Commission irlandaise de protection des données (DPC), Graham Doyle.
Doyle a refusé de détailler le contenu de la décision préliminaire.
Cependant, en septembre 2020, le DPC a envoyé une ordonnance préliminaire demandant à Facebook de suspendre les transferts de données, selon un rapport du Wall Street Journal à l’époque, citant des personnes proches du dossier.
Meta, alors que le géant de la technologie a récemment renommé son empire d’exploration de données, a signalé le risque continu pesant sur ses transferts de données entre l’UE et les États-Unis lors d’appels avec des investisseurs.
Il a également immédiatement cherché à contester le projet d’ordonnance antérieur du DPC devant les tribunaux – mais cette voie légale s’est épuisée en mai de l’année dernière lorsque la Haute Cour irlandaise a rendu une décision rejetant la contestation des procédures du DPC.
Il n’est pas clair qu’il y ait eu un changement important dans les faits de l’affaire – qui repose sur le conflit entre la législation européenne sur la protection des données et les pouvoirs de surveillance américains – depuis le précédent projet d’ordonnance ordonnant à l’entreprise de suspendre les transferts qui conduiraient le régulateur à arriver à une conclusion différente maintenant, indépendamment de ce que Meta soumet à cette prochaine étape.
En outre, ces derniers mois, d’autres agences européennes de protection des données ont rendu des décisions à l’encontre d’autres services américains impliquant des transferts de données personnelles vers les États-Unis, tels que Google Analytics, ce qui, du moins d’un point de vue optique, accroît la pression sur le DPC pour finaliser une décision contre Meta.
Le régulateur a également été confronté à une contestation procédurale par le plaignant initial, Max Schrems, qui en a extrait un accord, en janvier 2021, selon lequel il finaliserait rapidement la plainte de longue date – c’est donc un autre quasi délai en jeu.
Selon les termes de cet accord, le DPC a convenu que Schrems serait également entendu dans sa procédure (parallèle) de « propre gré » – qu’il a ouverte en plus de son enquête basée sur une plainte liée à sa plainte initiale (2013), et qui est maintenant aller de l’avant via cette nouvelle décision préliminaire rendue à Meta.
Schrems a confirmé qu’il avait reçu la décision du DPC – mais n’a fait aucun autre commentaire.
(Pour encore plus de rebondissements, en novembre, le groupe de défense de la vie privée fondé par Schrems a déposé une plainte pour corruption criminelle contre le DPC – accusant le régulateur de «chantage procédural» en ce qui concerne les tentatives d’empêcher la publication d’autres projets de plaintes…)
On ne sait toujours pas combien de temps exactement cette saga de transfert de données pluriannuelle pourrait s’éterniser avant qu’une décision finale n’atteigne Meta – potentiellement lui ordonnant de suspendre les transferts.
Mais il devrait être plus proche des mois que des années, maintenant.
Le processus de l’article 60 boucle dans d’autres agences de protection des données intéressées – qui ont la capacité de faire des objections motivées à un projet de décision par une autorité principale dans un délai initial d’un mois. Bien qu’il puisse y avoir des extensions. Et s’il y a un désaccord majeur entre les DPA sur une décision préliminaire, cela peut ajouter des mois au processus de prise de décision finale – et pourrait finalement obliger le comité européen de la protection des données à intervenir et à pousser une décision finale.
Tout cela reste à venir; pour l’instant, la balle est de retour dans le camp de Meta pour voir quelles nouvelles blablas ses avocats peuvent proposer.
Le géant de la technologie a été contacté pour commenter les derniers développements et dans un communiqué, un porte-parole de Meta nous a dit :
« Il ne s’agit pas d’une décision définitive et l’IDPC a demandé d’autres observations juridiques. La suspension des transferts de données serait préjudiciable non seulement aux millions de personnes, d’organisations caritatives et d’entreprises de l’UE qui utilisent nos services, mais également à des milliers d’autres entreprises qui comptent sur les transferts de données entre l’UE et les États-Unis pour fournir un service mondial. Une solution à long terme sur les transferts de données entre l’UE et les États-Unis est nécessaire pour maintenir les personnes, les entreprises et les économies connectées. »
Il y a un autre élément émouvant dans cette histoire apparemment sans fin – alors que les négociations entre la Commission européenne et les États-Unis sur le remplacement de l’ancien accord de transfert de données du Privacy Shield se poursuivent.
Au cours des derniers mois, Facebook et Google ont lancé des appels publics pour qu’un nouvel accord de transfert de données transatlantique soit conclu – demandant une solution de haut niveau à l’incertitude juridique à laquelle sont actuellement confrontés des dizaines de services cloud américains (ou du moins ceux qui refusent d’abandonner leur propre accès aux données en clair des personnes).
Cependant, la Commission a précédemment averti qu’il n’y aurait pas de « solution miracle » cette fois-ci – déclarant en 2020 qu’un remplacement ne serait possible que si tous les problèmes identifiés par la Cour de justice européenne dans son arrêt de juillet invalidant le bouclier de protection des données pouvaient être résolus. (ce qui signifie à la fois un moyen de recours légal et accessible pour les Européens et la lutte contre les pouvoirs de surveillance disproportionnés des États-Unis qui reposent sur des interceptions massives de communications Internet).
Donc, en bref, Privacy Shield 3.0 ressemble à un défi de taille – certainement dans le genre de commande rapide que le business-as-usual exige de Meta… Alors le lobbyiste en chef, Nick Clegg, a certainement du pain sur la planche !