Les roues de l’application de la vie privée tournent lentement contre Facebook en Europe – où son principal régulateur de la protection des données, la Commission irlandaise de protection des données (DPC), a franchi une étape procédurale clé sur une plainte de transfert de données dont la substance remonte à près d’une décennie.
Le DPC a confirmé aujourd’hui qu’un projet de décision sur la légalité des transferts de données UE-États-Unis de Meta a été envoyé à d’autres agences de protection des données pour examen. Le sous-commissaire, Graham Doyle, a refusé de fournir des détails sur la décision elle-même – confirmant seulement qu’elle a été envoyée.
« Nous l’avons envoyé à nos collègues autorités de protection des données pour leur avis et ils ont un mois pour nous revenir », a-t-il déclaré à TechCrunch.
Politico, qui a signalé ce développement plus tôt dans la journée, rapporte également que le projet de décision du DPC ordonne à Meta de cesser les exportations de données UE-États-Unis – et la publication poursuit en affirmant que l’ordonnance pourrait entraîner la coupure des Européens de services tels que Facebook et Instagram dès cet été, si la commande est confirmée par d’autres agences de protection des données de l’UE qui l’examinent.
Une ordonnance du DPC à Facebook l’empêchant d’exporter les données des citoyens de l’UE vers les États-Unis pour traitement, ce qui est essentiellement la façon dont son service fonctionne actuellement, ne serait pas une surprise : en septembre 2020, le Wall Street Journal a également rapporté que le DPC avait envoyé Meta une ordonnance préliminaire pour suspendre les flux de données UE-États-Unis.
Le régulateur n’a pas non plus confirmé le fond de l’ordonnance, mais le développement a suivi une décision historique du plus haut tribunal du bloc, en juillet 2020, qui a fait sauter un nouveau trou dans le cadre juridique concernant les exportations de données vers les États-Unis en raison de l’affrontement entre les États-Unis la loi sur la surveillance et les droits à la vie privée de l’UE – de sorte que la substance spécifique de l’ordonnance n’avait pas besoin d’être précisée.
Quoi aurait Une surprise, dans cette saga douloureusement longue et tordue de protection des données (manque d’application), serait si les rouages des régulateurs européens tournaient si vite que les flux de données de Facebook devaient effectivement cesser cet été.
De plus – étant donné des rapports parallèles selon lesquels les négociations UE-États-Unis pour finaliser le remplacement du mécanisme de transfert de données de l’ancien bouclier de protection des données sont au point mort depuis qu’un accord politique a été conclu à ce sujet en mars, et pourraient désormais ne plus être achevées d’ici la fin de l’année ( comme le bloc l’a déjà suggéré) – les cyniques pourraient suggérer qu’une fuite maintenant sur les flux de données de Facebook sur le point d’être bloqués pourrait être un stratagème stratégique pour graisser les rouages de ces pourparlers de haut niveau.
Les législateurs de la Commission n’apprécieront certainement pas de lire les gros titres de l’été sur la coupure de l’accès des Européens à Facebook – même si l’entreprise elle-même continue d’avoir une mauvaise réputation dans l’ensemble des institutions européennes, après des années de scandales liés à la vie privée.
Max Schrems, l’avocat et militant européen de la protection de la vie privée qui a déposé la plainte initiale de transfert de données sur Facebook en 2013, doute également que le développement d’aujourd’hui conduise à une résolution rapide. Dans une déclaration en réponse aux articles de presse sur le projet de décision, il a déclaré qu’il prévoyait que les objections procédurales continueraient de faire tourner le processus d’exécution – potentiellement pendant de nombreux mois, voire jusqu’à un an.
« Nous nous attendons à ce que d’autres APD émettent des objections, car certaines questions majeures ne sont pas traitées dans le projet du DPC », a-t-il écrit dans une réponse publiée sur le site Web de noyb, ses droits à la vie privée à but non lucratif. «Cela conduira à un autre projet, puis à un vote. Dans d’autres cas, cela a pris une autre année au total, car le DPC n’a pas volontairement mis en œuvre les commentaires des autres DPA et a mis plus de six mois pour transmettre le dossier au vote.
Alors — tl;dr — ne pariez pas que la ferme sur Facebook fermera en Europe avant la nouvelle année scolaire.
Schrems souligne également que le projet de décision transmis par le DPC à d’autres APD de l’UE n’est toujours pas une décision sur sa plainte initiale. En effet, le régulateur a ouvert une enquête « de son propre gré » parallèlement à sa plainte, ce à quoi se rapporte ce projet de décision. Sa plainte n’est donc toujours pas résolue – soulignant le défi pour les citoyens d’exercer les droits de l’UE qu’ils ont sur le papier contre les puissants géants de la technologie.
C’est aussi pourquoi Schrems calcule son attente d’application à neuf ans (cela fait également deux ans depuis la décision historique de la CJUE qui a annulé le mécanisme de protection de la vie privée UE-États-Unis et pourtant les données de Facebook circulent toujours).
Schrems s’attend à encore plus de retards dans l’application – prédisant que le géant de la technologie jettera l’évier de la cuisine pour contester toute commande; et se demandant pourquoi le DPC (apparemment) ne demande pas de sanction financière dans cette affaire qui, selon lui, pourrait en fait être un levier d’application utile ici, surtout s’il est antidaté par rapport à sa plainte initiale… (Nous avons interrogé Schrems sur le fond du projet de DPC décision, mais il a dit qu’il n’était pas en mesure de fournir des commentaires publics.)
« Facebook utilisera le système juridique irlandais pour retarder toute interdiction réelle des transferts de données », prédit-il dans les remarques préparées. « L’Irlande devra envoyer la police pour couper physiquement les cordons avant que ces transferts ne s’arrêtent réellement. Ce qui serait cependant facile à faire, c’est une amende pour les années passées, où la CJUE a clairement déclaré que les transferts étaient illégaux. Il est étrange que le DPC semble « oublier » la seule sanction efficace dans ce cas. Vous pourriez avoir l’impression que le DPC veut juste que cette affaire tourne en rond encore et encore.
Les retards semblent aller de soi.
En février, lorsque le DPC a envoyé une décision révisée sur la plainte à Meta, le régulateur nous a dit qu’il s’attendait à ce que cette étape procédurale soit effectuée en avril – donc même cette pièce a pris des mois de plus que prévu sans raison évidente. (Nous avons demandé au DPC – mais Doyle vient de dire que cela a pris « quelques semaines de plus » que prévu.)
Sollicité pour commenter le projet de décision du DPC envoyé à d’autres DPA pour examen, un porte-parole de Meta a cherché à minimiser l’ensemble de la plainte en suggérant qu’un nouvel accord de transfert de données entre l’UE et les États-Unis résoudrait bientôt son mal de tête juridique.
Voici la déclaration de Meta :
Ce projet de décision, qui est soumis à l’examen des autorités européennes de protection des données, concerne un conflit entre les législations de l’UE et des États-Unis qui est en cours de résolution. Nous nous félicitons de l’accord UE-États-Unis pour un nouveau cadre juridique qui permettra le transfert continu de données à travers les frontières, et nous espérons que ce cadre nous permettra de maintenir les familles, les communautés et les économies connectées.
Ce que Meta ne mentionne pas, c’est qu’une fois adopté, tout nouvel accord de transfert de données entre l’UE et les États-Unis sera probablement confronté à une nouvelle contestation judiciaire.
Les experts en matière de protection de la vie privée s’attendent également à ce qu’il faille moins de temps pour qu’une telle contestation arrive devant la CJUE cette (troisième) fois, tout en soulignant que la Cour s’est également montrée disposée à accélérer les décisions lorsqu’il existe des risques pour les citoyens de l’UE. ‘ droits fondamentaux. Donc, si Meta mise sur une stratégie consistant à repousser perpétuellement ses problèmes de confidentialité régionaux dans l’herbe longue légale, il se peut, enfin – enfin ! — se retrouve à court de route et contraint à un arrêt brutal.
Mais les chances que les voyants de service de Facebook soient éteints en Europe cet été semblent extrêmement faibles.