Meta toujours suspendu au sort des flux de données personnelles de ses utilisateurs vers les Etats-Unis

Meta a reçu une décision "préliminaire" par la Data Protection Commission sur le sort des flux de données de ses utilisateurs vers les Etats-Unis. Il a 28 jours pour adresser ses observations. L'enjeu est important : si l'entreprise américaine se voit interdire les transferts d'informations, ses activités en Europe seront très fortement affectées. 

Partager
Meta toujours suspendu au sort des flux de données personnelles de ses utilisateurs vers les Etats-Unis

En septembre 2020, la Data Protection Commission (DPC) – l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil) en Irlande – enjoignait Meta (ex Facebook) d'arrêter immédiatement de transférer les données des utilisateurs de ses services vers les Etats-Unis.

En d'autres termes, elle lui demandait de prendre acte de l'invalidation du Privacy Shield par le juge européen. Cet accord, négocié entre 2015 et 2016, facilitait le transfert de données personnelles vers les Etats-Unis en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen.

Un projet de décision envoyé à Meta
Un an plus tard, où en est-on ? L'affaire est toujours en cours devant la DPC. Elle vient d'envoyer une décision "préliminaire" à Meta, a appris Techcrunch. L'entreprise dispose désormais de "28 jours" pour présenter ses observations. "Après quoi, nous préparerons un projet de décision au titre de l'article 60" du Règlement général sur la protection des données (RGPD) aux autorités de protection des données européennes, a détaillé Graham Doyle, l'un des sous-commissaires à la DPC au média américain.

Une étape qui devrait se dérouler en avril. En revanche, il a refusé de dévoiler le contenu de ce document. Meta avait tenté de faire annuler la décision initiale devant la Haute cour d'Irlande en affirmant que l'interdiction des flux de données aurait des conséquences "dévastatrices" et "irréversibles" pour ses activités en Europe. En mai 2021, elle a rejeté sa demande, permettant à la DPC de reprendre son enquête.

Des risques importants en cas d'interdiction des transferts
Meta joue gros dans cette affaire. L'entreprise déclare depuis un an dans les documents financiers adressés aux investisseurs qu'il dépose devant la Security and Exchange Commission (SEC) qu'il serait "probablement impossible de fournir en Europe certains de nos produits et services les plus importants, y compris Facebook et Instagram" si la décision est actée.

Contrairement à ce que la presse s'était empressée de relayer suite à la dernière présentation de ses résultats, Meta ne menaçait absolument pas de quitter l'Europe. "Comme toute les sociétés cotées en bourse, nous sommes légalement tenus de divulguer les risques importants à nos investisseurs", expliquait Markus Reinisch, vice-président de la politique publique en Europe.

Mais surtout, Meta n'est pas la seule entreprise concernée par cette problématique. "Tout comme 70 autres entreprises européennes et américaines, nous identifions un risque commercial résultant de l'incertitude entourant les transferts internationaux de données", note Meta. Il plaide donc pour l'instauration d'un cadre clair pour "protéger les flux de données transatlantiques sur le long terme".

Or, la conclusion d'un nouveau Privacy Shield ne devrait pas arriver tout de suite car elle nécessite que les Etats-Unis revoient leur législation sur la surveillance. En effet, c'est la possibilité pour les autorités américaines d'accéder aux données des Européens qui a motivé l'invalidation du précédent accord.

L'étau se resserre autour des services américains
La future décision de la DPC revêt donc une importance considérable pour l'avenir des activités de beaucoup d'entreprises américaines en Europe. Il est difficile de prévoir la future prise de position de l'autorité irlandaise car elle doit s'accorder avec tous ses homologues, dont certains se sont montrés très stricts envers les services américains. La Datenschutzbehörde, l'autorité autrichienne, a par exemple déclaré dans une décision rendue le 13 janvier que l'utilisation de Google Analytics viole le RGPD.

Quelques semaines plus tard, la Cnil a tranché dans le même sens. Elle a jugé que les clauses contractuelles types, même accompagnées de garanties supplémentaires (seules alternatives au Privacy Shield), ne suffisaient pas "à exclure la possibilité d'accès des services de renseignements américains" aux données traitées par la firme de Mountain View.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS