Coup de théâtre dans l’Union europĂ©enne ! Pays europĂ©en qui figurait historiquement parmi les plus complaisants envers les GAFAMs, l’Irlande et sa DPC (Data Protection Commission) pourraient mettre Ă mal les activitĂ©s de Meta en Europe. La semaine dernière, l’autoritĂ© de protection des donnĂ©es irlandaise a appelĂ© ses homologues europĂ©ens Ă consulter son projet de dĂ©cision phare. L’UE pourrait donc obliger Meta Ă stopper le transfert de donnĂ©es personnelles des utilisateurs europĂ©ens vers les États-Unis. Plus de dĂ©tails ci-dessous.
Un projet de protection des données contre les transferts de Meta
Le projet est portĂ© par la DPC de l’Irlande devant les autres autoritĂ©s europĂ©ennes Ă©quivalentes. En France par exemple, l’homologue de la DPC est la Commission nationale de l’informatique et des libertĂ©s (Cnil). Dans ce projet, La DPC s’appuie sur le Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD) adoptĂ© en Europe depuis avril 2016.
Les accusations portĂ©es par la DPC ne sont pas nouvelles. En septembre 2020 dĂ©jĂ , Meta (anciennement Facebook) avait refusĂ© de se plier face Ă l’autoritĂ© irlandaise. Nick Clegg, vice-prĂ©sident des affaires publiques et de la communication au sein de Facebook, avait alors dĂ©clarĂ© : « Nous continuerons Ă transfĂ©rer des donnĂ©es conformĂ©ment au rĂ©cent arrĂŞt de la CJUE et jusqu’Ă ce que nous recevions de plus amples informations ».
Le problème est que Meta et la DPC ne font pas la même lecture du RGPD. La DPC, elle, se focalise sur le coup d’arrêt porté par l’UE au Privacy Shield qui assurait auparavant, le transfert de données vers les États-Unis. À l’inverse, Facebook persévérait dans sa lecture de l’article 46 du RGPD qui permet la formation de contrats de transfert de données personnelles avec l’aval de la Commission Européenne.
La principale crainte de la DPC est que les données puissent être examinées par les autorités américaines, comme le prévoit le CLOUD Act. La DPC met le géant face à un ultimatum d’un mois.
Lire aussi : Meta réduit ses prévisions d’embauche de 30%
Quel danger pour les réseaux sociaux de Meta ?
Face Ă cet ultimatum, Meta avait agitĂ© la menace du retrait de ses services de l’Union europĂ©enne. Dans le cas oĂą le transfert de donnĂ©es serait stoppĂ©, la suite reste assez floue : « il n’est pas très clair comment, dans ces circonstances, Meta peut continuer Ă fournir les services Facebook et Instagram dans l’UE ». C’est l’idĂ©e soutenue par Yvonne Cunnane, responsable de la protection des donnĂ©es et de la vie privĂ©e chez Facebook, lors d’une dĂ©claration sous serment, transmise Ă la Haute Cour de Justice d’Irlande.
Comme tu le sais, Facebook et Instagram sont les deux piliers de Meta. Ensemble, ils assurent la visibilitĂ© de Meta sur le marchĂ© des rĂ©seaux sociaux, si bien qu’ils occupent 80% du temps passĂ©s sur les rĂ©seaux des 15-24 ans Ă travers le monde. Fermer ces deux services dans l’Union europĂ©enne pourrait engendrer de grosses pertes financières pour la sociĂ©tĂ© de Mark Zuckerberg. NĂ©anmoins, Meta c’est aussi Messenger, Whatsapp, Workplace, Oculus, Facebook Games. Ces applications occupent 24% du temps des CSP+ sur les services du groupe.
Une grande menace pour le transfert de données outre-atlantique en général
Meta n’est pas la seule entreprise menacée
Meta n’est pas la seule entreprise menacée par la suppression de ses services au sein de l’UE. Si elle reste la plus visible sur le marché, on trouve pas moins de 70 autres entreprises potentiellement concernées. Celles-ci sont européennes ou américaines et bénéficient des transferts internationaux de données, plus particulièrement ceux outre-atlantique. En plaidant devant la Security and Exchange Commission (SEC), Meta a mentionné ces 70 autres entreprises affectées par ces incertitudes du RGPD.
En raison du risque commercial qui touche ces sociĂ©tĂ©s, Meta a appelĂ© Ă l’instauration d’un cadre clair pour « protĂ©ger les flux de donnĂ©es transatlantiques sur le long terme« . Un nouveau cadre de transfert de donnĂ©es personnelles est donc actuellement en dĂ©cision dans les instances europĂ©ennes. Le chantier s’annonce donc plutĂ´t long.
Des négociations sur le flux de données qui patinent
Depuis la fin du Privacy Shield en 2020, un accord Ă©tait attendu, tant du cĂ´tĂ© des États-Unis que de celui de l’UE, pour fixer les incertitudes. En mars 2022, les deux partis Ă©taient parvenus Ă la signature d’un « accord de principe ». Sur Twitter, Ursula Van der Leyen avait annoncĂ© que cela permettait « d’avoir des flux de donnĂ©es prĂ©visibles et fiables, tout en assurant la sĂ©curitĂ©, le droit Ă la vie privĂ©e et la protection des donnĂ©es ».
Toutefois, l’accord final, Ă partir de cette base, allait encore nĂ©cessiter plusieurs mois de nĂ©gociations. En avril 2022, cet accord de principe a Ă©tĂ© mis Ă mal par le ComitĂ© europĂ©en de la protection des donnĂ©es (European Data Protection Board). Selon ce dernier, il n’a aucune consĂ©quence juridique. L’instance a ajoutĂ© qu’elle aura la charge d’Ă©valuer le nouvel accord afin de voir s’il rĂ©pond au niveau d’exigence fixĂ© par le Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD).
Après des années de complaisance européenne envers les GAFAMs, il est dorénavant possible que les géants de la Tech se cassent les dents face à des juridictions européennes sur la défensive. Le risque reste, toutefois, important pour l’Union européenne qui ne possède pas de service équivalent en volumétrie, à ceux proposés par Meta.
