Rappel : aujourd’hui est la date limite pour que le principal régulateur de la confidentialité de Meta en Europe adopte une décision finale sur une plainte de près d’une décennie contre les transferts de données personnelles de Facebook de l’UE vers les États-Unis, qui pourrait voir l’entreprise condamnée à arrêter le flux de données. .
La Commission irlandaise de protection des données (DPC) a confirmé à TechCrunch qu’elle adoptera sa décision finale aujourd’hui.
Cependant, nous comprenons qu’il y aura un délai supplémentaire (d’un peu plus d’une semaine) avant que la décision ne soit rendue publique. La date à laquelle on nous a dit que la commande sera officiellement publiée est le 22 mai – en supposant que les détails ne soient pas divulgués au préalable.
Le retard dans la publication de la décision adoptée est dû au fait que Meta aura le temps d’examiner le document pour identifier les informations confidentielles et/ou commercialement sensibles qu’il pourrait vouloir expurger, nous a-t-on dit, et en raison d’un jour férié affectant un autre régulateur européen impliqué.
La date du 12 mai pour l’adoption de la décision finale du DPC sur la plainte suit un calendrier fixé par une décision de règlement des litiges prise par le comité européen de la protection des données le mois dernier.
En appliquant les mécanismes intégrés au Règlement général sur la protection des données (RGPD), le Conseil est intervenu pour régler le désaccord entre un certain nombre de régulateurs de l’UE sur le fond de la décision – en prenant une décision contraignante sur les transferts de Meta et en donnant un mois au DPC pour la mettre en œuvre.
Nous ne savons pas encore ce qui a été décidé puisque la décision de règlement des différends du Conseil n’a pas été rendue publique car nous attendons la décision finale du DPC (qui l’appliquera) – donc le sort des flux de données européens de Facebook est toujours en jeu. .
Cela dit, on s’attend généralement à ce que Meta soit ordonné de suspendre les flux de données, étant donné ta société a reçu une ordonnance de suspension préliminaire de la DPC, à l’automne 2020.
À cette époque, la société a obtenu un sursis à la procédure du DPC, ce qui a contribué à retarder le calendrier d’application du RGPD jusqu’à ce que les tribunaux irlandais rejettent la contestation de Meta. D’autres retards sont intervenus plus tard, lorsque le projet de décision du DPC sur l’affaire a fait l’objet d’objections de la part d’autres autorités de protection des données de l’UE – ces différends étant finalement réglés par la décision contraignante du comité européen de la protection des données le mois dernier.
Cela signifie que le processus réglementaire est au moins à bout de souffle (mais attendez-vous à ce que Meta conteste toute ordonnance de suspension devant les tribunaux irlandais).
La société a continuellement cherché à minimiser la saga – affirmant dans sa dernière déclaration qu’elle « se rapporte à un conflit historique entre le droit européen et américain, qui est en train d’être résolu ». Ce qui fait référence à un projet d’accord entre les législateurs européens et américains pour un nouveau cadre de transfert de données transatlantique de haut niveau visant à résoudre le conflit entre les pratiques de surveillance américaines et les droits de protection des données de l’UE.
Cependant, ce cadre de confidentialité des données UE-États-Unis, comme l’accord a été nommé, est toujours en cours d’examen par les institutions de l’UE qui ont fait part de leurs inquiétudes quant au fait qu’il ne dispose pas de garanties suffisamment solides. Et, pas plus tard que cette semaine, les législateurs du Parlement européen ont réitéré un appel à la Commission pour qu’elle prenne plus de temps pour améliorer la proposition – suggérant qu’il pourrait y avoir de nouveaux retards dans l’adoption d’un accord sur lequel Meta semble miser pour sauver ses transferts de données.
Bien que la question de la suspension des données soit le problème principal de cette affaire GDPR, oLes principaux éléments à surveiller dans la décision finale de l’Irlande plus tard ce mois-ci incluent la question de savoir si Meta sera ou non condamné à supprimer les données des utilisateurs européens s’il s’avère qu’elles ont été illégalement transférées aux États-Unis.
De retour en mars, MLex signalé qu’au moins deux autorités de protection des données faisaient pression pour cela – et que Meta faisait pression sur les institutions européennes contre une telle décision.
Ajoutez à cela, des documents internes divulgués l’année dernière suggèrent que les pratiques de gestion des données du géant de la technologie sont, pour le dire poliment, un gâchis. Ainsi, la facilité avec laquelle Meta pourrait identifier et isoler les données des utilisateurs européens, s’il lui était ordonné de les supprimer, est une considération/complication importante (coûteuse).
Meta pourrait bien sûr également être condamné à une amende s’il s’avère qu’il a transféré illégalement des données.
Le RGPD autorise des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial, bien qu’à ce jour, Meta ait obtenu un succès considérable en se voyant infliger une amende bien inférieure au maximum théorique.
Le groupe de défense des droits à la vie privée, noyb – dont le fondateur, Max Schrems, est à l’origine de la plainte contre les flux de données UE-États-Unis de Facebook – a écrit au CEPD en janvier pour se plaindre de l’ampleur de l’amende que le DPC lui a infligée au début de cette année , sur le traitement illégal des données publicitaires, arguant que l’amende de 390 millions d’euros était dérisoire par rapport à l’ampleur des infractions (en fait, il a suggéré qu’elle était inférieure de plus de 3,5 milliards d’euros).
L’Irlande avait en fait proposé un niveau d’amende bien inférieur pour cette infraction – entre 28 et 36 millions d’euros – mais le régulateur a été contraint de l’augmenter afin de mettre en œuvre la décision contraignante du CEPD.
Sans cette intervention du Conseil, Meta aurait dû faire face à une application du RGPD encore plus faible pour avoir traité illégalement des millions de données personnelles d’Européens à des fins de publicité comportementale. Il sera donc intéressant de voir quel niveau de pénalité (le cas échéant) est inclus dans la décision finale de l’Irlande sur les transferts de données de Facebook.
Cela dit, les sanctions financières imposées aux géants de la technologie sont généralement moins intéressantes que les ordres opérationnels qui ont la possibilité de forcer des changements à des modèles commerciaux abusifs. Et bien que Meta continue d’explorer les données des utilisateurs européens pour le ciblage publicitaire comportemental, il a au moins été contraint de proposer une option de retrait à la suite de l’application susmentionnée du RGPD. Quelque chose qu’il n’a jamais offert auparavant.
Comment Meta pourrait être contraint de modifier son modèle commercial pour corriger les transferts de données transatlantiques illégaux est une question ouverte.
Mais il ne fait aucun doute qu’il mettra tout en œuvre pour lutter contre toute ordonnance de suspension devant les tribunaux, il pourrait donc bien trouver un moyen de retarder l’obligation d’agir suffisamment longtemps pour que les poteaux de but soient déplacés par l’arrivée d’un nouvel accord américain sur l’adéquation des données. .
Sinon, les coûts seront réels.
Lors d’un appel aux résultats avec des investisseurs le mois dernier, la société a admis qu’une commande de suspension des flux de données en provenance d’Europe pourrait atteindre 10% de ses revenus publicitaires mondiaux.
De toute évidence, il espère ne pas en arriver là – et mise sur l’adoption du nouveau mécanisme de transfert de données entre l’UE et les États-Unis juste à temps. (Un porte-parole de l’entreprise a refusé de discuter des éventualités s’il lui était ordonné de suspendre les flux de données, soulignant les « progrès » que les décideurs politiques ont réalisés vers un nouveau pacte.)
Mais même si l’accord de haut niveau arrive assez tôt pour empêcher la fermeture de Facebook en Europe cette année, Schrems suggère que le nouveau cadre de haut niveau est « probable » d’être annulé par le plus haut tribunal du bloc, car les deux arrangements précédents étaient – il estime donc que Meta ne s’achèterait que « deux ans environ » avant que le problème ne se reproduise.
Pour une solution à plus long terme, il a suggéré que Meta devra fédérer l’infrastructure de Facebook. Mais un réoutillage aussi important de son activité coûterait évidemment aussi très cher.