Recevez chaque jour toute l'actualité du numérique

x

Facebook attaque la décision lui interdisant de transférer des données entre l'UE et les Etats-Unis

Vu ailleurs Pour la Cnil irlandaise, Facebook doit immédiatement cesser de transférer les données des utilisateurs européens vers les Etats-Unis en vertu de l'invalidation du Privacy Shield. L'entreprise américaine a déposé un recours contre cette décision et exhorte les régulateurs européens d'adopter "une approcher pragmatique et proportionnée".
mis à jour le 14 septembre 2020 à 09H11
Twitter Facebook Linkedin Flipboard Email
×

Facebook attaque la décision lui interdisant de transférer des données entre l'UE et les Etats-Unis
Facebook attaque la décision lui interdisant de transférer des données entre l'UE et les Etats-Unis © Tim Bennett - Unsplash

Mise à jour (14/09/2020) : Facebook a déposé un recours contre la Cnil irlandaise pour faire annuler son injection préliminaire lui demandant de cesser le transfert des données des utilisateurs européens vers les Etats-Unis, en vertu de l'invalidation du Privacy Shield. "L'absence d'un mécanisme de transfert de données international, sûr, sécurisé et légal aurait des conséquences néfastes pour l’économie européenne", a déclaré un porte-parole de l'entreprise américaine à CNBC. "Nous exhortons les régulateurs à adopter une approche pragmatique et proportionnée jusqu’à ce qu’une solution durable à long terme puisse être trouvée."

Article original : La Data Protection Commission (DPC) a ouvert une enquête sur les pratiques de Facebook en matière de transfert de données. L'équivalent de la Cnil en Irlande demande également à l'entreprise américaine de cesser immédiatement de transférer les données des utilisateurs européens vers les Etats-Unis. La DPC a envoyé une injection préliminaire à l'entreprise américaine fin août, rapporte le Wall Street Journal dans un article publié le 9 septembre. 

Une conséquence e de l'annulation du Privacy Shield
Cette enquête est la première retombée de la décision rendue en juillet 2020 par laquelle la Cour de justice de l'Union européenne (CJUE) a invalidé le Privacy Shield, accord qui facilitait le transfert de données entre l'UE et les Etats-Unis. Négociée entre 2015 et 2016, cette convention autorisait les entreprises européennes à transférer des données personnelles outre-Atlantique, en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen.

Nick Clegg, vice-président des affaires publiques et de la communication au sein de Facebook, s'est étonné de la position de la Cnil irlandaise, estimant que le mécanisme des clauses contractuelles types avait été validé par le juge européen. Facebook, comme beaucoup d'autres entreprises américaines, s'appuie sur ce mécanisme pour transférer légalement des données vers les Etats-Unis. En effet, le juge européen a déclaré dans son jugement que "les clauses contractuelles types" – modèles de contrats de transfert de données personnelles adoptés par la Commission européenne – pouvaient être utilisées pour palier l'annulation du bouclier de protection des données. Mais, en pratique, les choses sont plus complexes.

"La Cour de justice déclare que les clauses contractuelles types offrent un niveau de garantie suffisant. Elle laisse le soin à chaque entreprise qui opérera des transferts de décider si les données personnelles sont suffisamment protégées dans le pays destinataire", interprétait Lorette Dubois, avocate spécialisée dans la protection des données personnelles au sein du cabinet Vercken & Gaullier, contactée par L'Usine Digitale. Mais dans les faits, comment prouver que ces données sont effectivement protégées lorsque la Cour pointe du doigt les programmes de surveillance américains ? "A ce stade, tout transfert vers les Etats-Unis comporte un risque", tranchait finalement la spécialiste des données personnelles.

Facebook refuse de se soumettre à la Cnil irlandaise 
Facebook refuse pour le moment de se plier aux demandes de la DPC. "Nous continuerons à transférer des données conformément au récent arrêt de la CJUE et jusqu'à ce que nous recevions de plus amples informations", argue Nick Clegg dans un billet de blog récemment publié. Il poursuit en reprochant au juge européen d'installer un climat d'instabilité juridique pour les grandes entreprises technologiques mais également pour les start-up. "Les entreprises ont besoin de règles claires et globales, étayées par un solide État de droit, pour protéger les flux de données transatlantiques sur le long terme", poursuit M. Clegg qui plaide pour une "réglementation proportionnée et pragmatique".

Si Facebook refuse de se plier aux demandes de la DPC, il risque une amende qui peut s'élever jusqu'à 20 millions d'euros ou 4 % de son chiffre d'affaires annuel mondial pour la violation du Règlement général sur la protection des données (RGPD). A noter que le chiffre d'affaires de Facebook est de 17,7 milliards de dollars, principalement grâce à ses revenus publicitaires. Reste à savoir si la Cnil irlandaise mettra ses menaces à exécution. Par ailleurs, le montant de la sanction est-il suffisamment prohibitif pour que Facebook cesse réellement de transférer les données de ses utilisateurs européens vers ses serveurs aux Etats-Unis ? Ne préférera-t-il pas payer l'amende et continuer ses activités plutôt que d'interrompre ou dégrader ses services dans l'Union européenne ?

Un second Privacy Shield compromis
La seule alternative qui pourrait exempter Facebook d'une condamnation est l'adoption d'un second Privacy Shield. Une option inenvisageable actuellement. En effet, Didier Reynders, commissaire européen à la justice, a récemment expliqué que les élections américaines compliquaient les négociations en cours

La position de la Cnil irlandaise n'aura pas seulement des conséquences sur Facebook. Si la DPC décide d'invalider les clauses contractuelles types, les entreprises européennes ne pourront plus du tout transférer de données personnelles vers les Etats-Unis. En effet, ce mécanisme était la seule alternative au Privacy Shield autorisée jusqu'ici par le juge européen. De nombreuses entreprises américaines se reposent sur ces clauses pour continuer à proposer leurs services dans l'UE et seraient alors en théorie dans l'incapacité de le faire.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media