Après Facebook, quel avenir en Europe pour les entreprises qui transfèrent des données aux Etats-Unis ?
A la suite de l'injonction émise par la Cnil irlandaise qui s'appuie sur l'invalidation du Privacy Shield, Facebook menace de fermer son réseau social ainsi qu'Instagram en Europe. Qui de l'entreprise américaine ou de l'Union européenne pliera en premier ? Car l'issue de ce bras de fer aura des conséquences bien au-delà des activités de Facebook. Toutes les entreprises européennes transférant des données outre-Atlantique sont concernées.
Facebook menacerait-il de fermer ses activités en Europe pour faire plier la Data Protection Commission, l'équivalent de la Cnil en Irlande, qui lui demande d'arrêter ses transferts de données ? L'entreprise américaine ne l'affirme pas explicitement mais c'est tout comme.
"Il n'est pas très clair comment, dans ces circonstances, [Facebook] peut continuer à fournir les services Facebook et Instagram dans l'Union Européenne", s'est interrogée Yvonne Cunnane, responsable de la protection des données et de la vie privée chez Facebook, dans une déclaration sous serment transmise à la Haute Cour de Justice d'Irlande, citée par le Sunday Business Post.
Facebook refuse de se soumettre à la DPC
Ces allégations répondent à l'injonction préliminaire émise par la Cnil irlandaise début septembre qui demandait à Facebook de cesser immédiatement de transférer les données des utilisateurs européens vers les Etats-Unis.
En d'autres termes, la DPC enjoignait l'entreprise de prendre acte de l'invalidation du Privacy Shield décidé par la Cour de justice de l'Union européenne (CJUE) dans sa décision "Schrems II". Pour rappel, cet accord négocié entre 2015 et 2016 autorisait les entreprises européennes à transférer des données personnelles en outre-Atlantique, en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen.
Mais Facebook refuse de se plier à l'injonction de l'autorité de contrôle irlandaise. "Nous continuerons à transférer des données conformément au récent arrêt de la CJUE et jusqu'à ce que nous recevions de plus amples informations", tranchait Nick Clegg, vice-président des affaires publiques et de la communication au sein de Facebook, dans un billet de blog. Problème : la DPC et Facebook ne font pas la même lecture de la jurisprudence européenne.
De son côté, Facebook considère qu'il peut toujours transférer les données personnelles européennes vers ses serveurs américains grâce au mécanisme des clauses contractuelles types. Prévus par l'article 46 du Règlement général sur la protection des données (RGPD), ce sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne et signés par les parties participant au transfert. Certains cabinets d'avocats sont alignés sur cette position et conseillent à leurs clients – des entreprises qui transfèrent des données aux Etats-Unis – de renforcer le contenu de leurs clauses contractuelles types en instaurant davantage de mécanismes protecteurs des données personnelles.
Les programmes de surveillance américains violent le RGPD
La Cnil irlandaise estime, au contraire, que l'entreprise américaine ne peut plus se reposer sur ce mécanisme en raison du Foreign Intelligence Surveillance Act (FISA) dont les principes violent le RGPD. Cette loi autorise expressément la National Security Agency (NSA) à récupérer les données de personnes étrangères si elles sont stockées sur des serveurs américains.
Une interprétation partagée par Jean-Luc Sauron, haut fonctionnaire, professeur à l'Université Paris-Dauphine et responsable du diplôme d'université Délégué à la protection des données. "Tous les transferts de données personnelles entre l'Union européenne et les Etats-Unis sont illégaux jusqu'à ce qu'une nouvelle décision d'adéquation soit adoptée ou que de nouvelles clauses contractuelles types soient proposées par la Commission européenne", analyse-t-il, contacté par L'Usine Digitale.
Or, le transfert de données constitue le cœur du business model de Facebook. Raison pour laquelle la firme américaine rechigne à appliquer la nouvelle jurisprudence européenne et agite la menace d'un éventuel départ du Vieux Continent. "Manifestement, Facebook instaure un rapport de force avec les autorités de contrôle européennes, explique Jean-Luc Sauron. L'entreprise américaine leur dit : 'si vous vous amusez à appliquer Schrems II comme la CJUE, je partirai de l'Europe'." Facebook espère que les autorités de contrôle seront clémentes et auront une lecture la moins étroite possible de la décision européenne.
"Les Etats doivent tenir tête à Facebook"
Or pour le haut fonctionnaire, les Etats ne doivent pas céder face à cet ultimatum mais maintenir une position commune. "Soit nous restons dans un ensemble qui défend la culture de la data. Soit chacun essaie de tempérer, ce qui est dramatique", tranche Jean-Luc Sauron. Interrogée, la juriste Solange Siyandje partage la même position. "C'est un bras de fer que nous devons gagner. Sinon à quoi sert le RGPD ? Ce texte a été mis en place pour protéger les données personnelles en Europe mais au-delà également", affirme l'avocate spécialisée dans le droit des nouvelles technologies au sein du cabinet SNJ Avocats.
Le Comité Européen de la Protection des Données – la Cnil européenne – a justement pour mission d'émettre des avis pour garantir une application cohérente du RGPD par les autorités de contrôle nationales. Mais depuis l'invalidation du Privacy Shield, c'est silence radio. "Une consultation a été lancée juste après l'arrêt Schrems II mais elle n'est toujours pas disponible, s'étonne Jean-Luc Sauron. Je pense que la difficulté se trouve dans le fait que chaque autorité de contrôle n'a pas dans le même rapport de force avec les Gafam".
A ce titre, la Cnil irlandaise est dans une situation singulière. En effet, la majorité des sièges européens des géants du numérique se trouvent à Dublin, parmi lesquels Google, Facebook, Dell ou encore Apple. L'Irlande a ainsi été choisie comme un "guichet unique" pour gérer l'ensemble du contentieux des données personnelles. En attaquant frontalement Facebook, "la DPC cherche à redorer son blason", décrypte le professeur de droit. Une nécessité après que la Cnil lui ait volé la vedette en infligeant une amende record de 50 millions d'euros à Google pour ses pratiques abusives dans la collecte et l'utilisation des données personnelles à des fins publicitaires sur Android.
Reste désormais à savoir si la DPC va véritablement sanctionner Facebook, qui risque une amende s'élevant jusqu'à 4% de son chiffre d'affaires annuel mondial pour non-respect du RGPD. A noter que le chiffre d'affaires de Facebook est de 17,7 milliards de dollars, principalement grâce à ses revenus publicitaires. Solange Siyandje n'y croit pas. "Le but n'est pas de stopper le business de Facebook en Europe mais d'obliger les parties prenantes à se mettre autour d'une table pour trouver des solutions."
Les discussions pour un second Privacy Shield sont à l'arrêt
Ces discussions ont en fait déjà débuté au sommet de l'UE mais ont rapidement été bloquées. Didier Reynders, commissaire européen à la justice, expliquait que les élections américaines compliquaient les négociations en cours. Autre point de tension : Bruxelles attend de Washington des changements dans les procédures de surveillance. Une problématique qui dépasse largement le cadre de Facebook, "simple" entreprise privée.
Du côté de la France, la Cnil n'a pas officiellement pris position. Sollicité par nos soins, elle répond qu'elle n'est "pas compétente pour se prononcer sur la procédure menée par l’autorité irlandaise". Sans trancher le fond, elle poursuit en précisant que l'arrêt Schrems II implique "l’interruption d’un certain nombre de transferts de données personnelles vers les Etats-Unis. Les données correspondantes doivent alors être stockées et traitées en Europe". Et conclut sur une phrase quelque peu énigmatique : "cette exigence n’empêche pas, par elle-même, la fourniture de services de l’économie numérique". Est-ce un clin d'œil à Facebook pour l'informer de la possibilité de continuer à opérer au sein de l'UE ?
L'affaire dépasse largement les activités de facebook
Il faut bien comprendre que cette affaire n'est que la partie émergée de l'iceberg. Toutes les entreprises ayant des services en Europe et transférant des données aux Etats-Unis sont concernées par l'invalidation des clauses contractuelles types ; qu'elles soient des multinationales ou de plus petites entreprises. "Juridiquement, elles devraient toutes arrêter de transférer des données car elles sont dans l'illégalité, explique Solange Siyandje. Mais les Cnil ne les condamneront pas car c'est une décision très récente."
La situation contraire est difficile à imaginer. Premièrement, de nombreux secteurs économiques seraient totalement bloqués. Deuxièmement, les autorités de protection des données devraient lancer plusieurs millions de procédures pour punir les entreprises contrevenantes, ce qui provoquerait un engorgement sur plusieurs années.
Pour Jean-Luc Sauron, cette nouvelle affaire est symptomatique des rapports de force existants entre les Etats et les grandes entreprises technologiques qui tentent de s'immiscer dans les processus décisionnels. "Avec le RGPD, nous avons les moyens juridiques. Il faut désormais que nous nous donnions les moyens industriels pour être en adéquation avec nos valeurs", conclut le haut fonctionnaire. Les prochaines semaines vont donc être déterminantes pour l'avenir des entreprises opérant en Europe et transférant des données vers les Etats-Unis, qui attendent légitimement un cadre juridique clair.
SUR LE MÊME SUJET
Après Facebook, quel avenir en Europe pour les entreprises qui transfèrent des données aux Etats-Unis ?
Tous les champs sont obligatoires
0Commentaire
Réagir
