C’est finalement arrivé : Meta, l’entreprise anciennement connue sous le nom de Facebook, a reçu un ordre de suspension formel l’obligeant à cesser d’exporter les données des utilisateurs de l’Union européenne vers les États-Unis pour traitement.
Aujourd’hui, le Comité européen de protection des données (CEPD) a annoncé que Meta a été condamnée à une amende de 1,2 milliard d’euros (soit près de 1,3 milliard de dollars) – la plus grosse amende jamais infligée en vertu du Règlement général sur la protection des données (RGPD) de l’UE. (Le précédent record revient à Amazon, qui a été sanctionné de 887 millions de dollars en 2021 pour une mauvaise utilisation des données clients à des fins de ciblage publicitaire.)
La sanction infligée à Meta est due à la violation des conditions énoncées dans la réglementation paneuropéenne régissant les transferts de données personnelles vers des pays tiers (dans ce cas, les États-Unis) sans garantir une protection adéquate des informations des personnes.
Des juges européens ont déjà constaté que les pratiques de surveillance américaines sont en conflit avec les droits à la vie privée de l’UE.
Dans un communiqué annonçant la décision d’aujourd’hui, la présidente du CEPD, Andrea Jelinek, a déclaré :
Le CEPD a constaté que l’infraction de Meta IE (Irlande) est très grave car elle concerne des transferts qui sont systématiques, répétitifs et continus. Facebook compte des millions d’utilisateurs en Europe, donc le volume de données personnelles transférées est énorme. L’amende sans précédent est un signal fort aux organisations selon lequel de graves infractions ont des conséquences considérables.
Au moment de la rédaction de cet article, la Commission irlandaise de protection des données (DPC), l’organisme chargé de mettre en œuvre la décision contraignante du CEPD, n’avait pas encore commenté. (Mais sa décision finale peut être consultée ici.)
Meta a rapidement publié un billet de blog en réponse à l’ordre de suspension, confirmant qu’il fera appel et qualifiant l’amende d' »injustifiée et inutile ». Il a également tenté de rejeter la responsabilité du problème sur un conflit entre le droit de l’UE et le droit américain, plutôt que sur ses propres pratiques en matière de confidentialité. Nick Clegg, président des affaires mondiales, et Jennifer Newstead, directrice juridique, ont écrit :
« Nous faisons appel de ces décisions et nous demanderons immédiatement une suspension auprès des tribunaux, qui peuvent retarder les délais de mise en œuvre, compte tenu des préjudices que ces ordres causeraient, y compris pour les millions de personnes qui utilisent Facebook chaque jour ».
En avril, le géant de la publicité a prévenu les investisseurs que près de 10% de ses revenus publicitaires mondiaux seraient en danger si une suspension des flux de données de l’UE était réellement mise en œuvre.
Interrogé avant la décision sur les préparatifs qu’il a effectués en vue d’une éventuelle suspension, le porte-parole de Meta, Matthew Pollard, a refusé de fournir des « indications supplémentaires ». Il a renvoyé à une déclaration antérieure dans laquelle l’entreprise affirmait que l’affaire était liée à un « conflit historique entre le droit de l’UE et le droit américain » qui, selon elle, est en voie de résolution par les législateurs de l’UE et des États-Unis qui travaillent sur un nouvel arrangement de transfert de données transatlantique. Cependant, le cadre de données transatlantique relancé auquel Pollard a fait référence n’a pas encore été adopté.
Il convient également de noter que si l’amende et l’ordre de suspension d’aujourd’hui se limitent à Facebook, Meta est loin d’être la seule entreprise touchée par l’incertitude juridique persistante concernant les transferts de données entre l’UE et les États-Unis, comme le souligne le DPC dans sa conclusion, où il écrit : « Cette décision ne lie que Meta Ireland. Il est cependant clair que l’analyse de cette décision expose une situation où toute plateforme Internet relevant de la définition d’un fournisseur de services de communications électroniques soumis au programme PRISM de la section 702 de la FISA pourrait également contrevenir aux exigences du chapitre V du RGPD et de la Charte des droits fondamentaux de l’UE concernant leurs transferts de données personnelles vers les États-Unis », il est donc probable que la pression augmentera sur les législateurs des deux côtés de l’Atlantique pour conclure l’accord.
La décision émanant du DPC irlandais découle d’une plainte déposée contre la filiale irlandaise de Facebook il y a près de dix ans par le militant de la vie privée Max Schrems, qui a vivement critiqué le régulateur irlandais de protection des données de Meta dans l’UE, l’accusant d’avoir pris un chemin délibérément long et tortueux afin de contrecarrer l’application effective du règlement de l’UE.
Concernant sa plainte, Schrems soutient que la seule façon infaillible de résoudre le cercle vicieux des flux de données entre l’UE et les États-Unis est pour les États-Unis de prendre des mesures et de réformer leurs pratiques de surveillance.
En réaction à l’ordonnance d’aujourd’hui dans une déclaration (par le biais de son organisme à but non lucratif pour les droits de la vie privée), il a déclaré : « Nous sommes heureux de voir cette décision après dix ans de litige. L’amende aurait pu être beaucoup plus élevée, étant donné que l’amende maximale est de plus de 4 milliards et que Meta a enfreint délibérément la loi pour faire des bénéfices pendant dix ans. À moins que les lois américaines sur la surveillance ne soient corrigées, Meta devra restructurer fondamentalement ses systèmes ».
Pour sa part, le DPC, qui surveille la conformité au RGPD de plusieurs géants de la technologie dont les sièges régionaux sont situés en Irlande, rejette régulièrement les critiques selon lesquelles ses actions créent un goulot d’étranglement pour l’application de la loi, arguant que ses processus reflètent ce qui est nécessaire pour effectuer une diligence raisonnable dans des cas complexes transfrontaliers. Il cherche également souvent à détourner la responsabilité des retards dans la prise de décisions sur d’autres autorités de contrôle qui soulèvent des objections à ses projets de décision.
Cependant, il est important de noter que les objections aux projets de décision du DPC contre les géants de la technologie ont conduit à une application plus stricte grâce à un mécanisme de coopération intégré au RGPD, comme cela a été le cas dans les décisions précédentes contre Meta et Twitter.
Cela suggère que le régulateur irlandais n’applique pas suffisamment le RGPD aux plus grandes plateformes numériques et le fait d’une manière qui crée des problèmes supplémentaires pour le fonctionnement efficace du règlement, car il prolonge le processus d’application. (Dans le cas des flux de données de Facebook, par exemple, des objections ont été soulevées à l’encontre du projet de décision du DPC en août dernier – il a donc fallu près de neuf mois pour passer de ce projet à une décision finale et un ordre de suspension maintenant.) Et, eh bien, si vous prolongez suffisamment longtemps l’application de la loi, vous pouvez permettre assez de temps pour que les règles politiques soient modifiées de sorte que l’application ne soit jamais nécessaire en réalité.
Cela inclut apparemment l’existence d’une sanction financière, étant donné que le Comité a noté avoir demandé au DPC de modifier son projet de décision pour y inclure une amende, en écrivant :
Étant donné la gravité de l’infraction, le CEPD a estimé que le point de départ pour le calcul de l’amende devrait se situer entre 20 % et 100 % du maximum légal applicable. Le CEPD a également demandé au DPA irlandais d’ordonner à Meta IE de se conformer au chapitre V du RGPD en mettant fin aux opérations de traitement illicites, y compris le stockage, aux États-Unis des données personnelles des utilisateurs européens transférées en violation du RGPD, dans les 6 mois suivant la notification de la décision finale de l’IS irlandais.
L’amende maximale applicable que Meta peut encourir en vertu du RGPD est de 4 % de son chiffre d’affaires annuel mondial. Et étant donné que son chiffre d’affaires total l’année dernière s’élevait à 116,61 milliards de dollars, le montant maximum de l’amende aurait pu dépasser les 4 milliards de dollars. Par conséquent, le régulateur irlandais a choisi d’infliger à Meta une amende considérablement inférieure à ce qu’il aurait pu faire (mais tout de même beaucoup plus que ce qu’il souhaitait).
Dans de nouvelles déclarations publiques aujourd’hui, Schrems a de nouveau critiqué l’approche du DPC, accusant le régulateur de chercher essentiellement à contrecarrer l’application du RGPD. « Il nous a fallu dix ans de litiges contre le DPC irlandais pour arriver à ce résultat. Nous avons dû engager trois procédures contre le DPC et risquer des millions de frais de procédure. Le régulateur irlandais a tout fait pour éviter cette décision, mais a été systématiquement contredit par les tribunaux et les institutions européennes. Il est assez absurde que l’amende record aille en Irlande, l’État membre de l’UE qui a tout fait pour s’assurer que cette amende ne soit pas infligée », a-t-il déclaré.
Que se passe-t-il ensuite pour Facebook en Europe ?
Rien immédiatement. La décision prévoit une période de transition avant la suspension des flux de données, d’environ six mois, de sorte que le service continuera de fonctionner pendant ce temps. (Plus précisément, Meta dispose d’une période de transition de cinq mois pour suspendre tout transfert futur de données personnelles vers les États-Unis ; et d’un délai de six mois pour cesser le traitement et/ou le stockage illicites des données des utilisateurs européens qu’il a précédemment transférées sans base juridique valable.)
Meta a également déclaré qu’il fera appel et semble chercher à suspendre la mise en œuvre pendant qu’il présente ses arguments devant les tribunaux.
Schrems a déjà suggéré que l’entreprise devra finalement fédérer l’infrastructure de Facebook afin de pouvoir offrir un service aux utilisateurs européens qui ne nécessite pas l’exportation
Des rapports antérieurs suggéraient que la Commission européenne pourrait adopter le nouvel accord de transfert de données UE-États-Unis en juillet, bien qu’elle ait refusé de fournir une date précise, affirmant que plusieurs parties prenantes sont impliquées dans le processus.
Un tel calendrier signifierait que Meta dispose d’une nouvelle échappatoire pour éviter de suspendre le service Facebook dans l’UE et pourrait continuer de s’appuyer sur ce mécanisme de haut niveau tant qu’il sera en vigueur.
Si tel est le dénouement de cette saga tortueuse qui remonte à presque dix ans, cela signifierait qu’une affaire contre les transferts de données illégaux de Facebook, datant de presque dix ans à ce stade, restera une fois de plus en suspens – ce qui soulève des questions sur la possibilité pour les Européens d’exercer réellement les droits légaux énoncés dans le RGPD. (Et, en effet, s’il est possible de réglementer les géants de la technologie aux poches profondes, dont les rangs sont remplis d’avocats et de lobbyistes bien rémunérés.)
Dans le même temps, des contestations judiciaires de ce nouvel accord de transfert de données transatlantique sont attendues et Schrems estime que les chances de survie légale de cet accord UE-États-Unis sont minces.
Ainsi, Meta et d’autres géants américains dont le modèle économique repose sur l’exportation de données pour traitement de l’autre côté de l’Atlantique pourraient se retrouver rapidement dans cette boucle infernale.
« Meta prévoit de s’appuyer sur le nouvel accord pour les transferts à venir, mais cela n’est probablement pas une solution permanente », suggère Schrems. « À mon avis, le nouvel accord a peut-être dix pour cent de chances de ne pas être annulé par la CJUE. À moins que les lois américaines sur la surveillance ne soient corrigées, Meta devra probablement conserver les données de l’UE dans l’UE. »
Il y a également la question de savoir si Meta sera toujours tenu de supprimer les transferts de données historiques, car elle ne disposait d’aucun fondement juridique pour ces transferts.
Tout nouveau mécanisme transatlantique devrait (logiquement) s’appliquer uniquement aux flux de données futurs, et non aux exportations passées. Cela pourrait donc créer un casse-tête continu pour Meta. Des documents internes divulgués ont laissé entendre qu’elle ne dispose pas de contrôles appropriés sur ses flux internes de données publicitaires, ce qui pourrait rendre difficile et coûteux le respect d’une demande de suppression sélective des données des Européens pour le géant de la publicité en ligne.
Bien que Meta semble croire qu’elle bénéficie d’une autorisation totale de la part de l’Irlande pour ne pas s’inquiéter de cela, affirmant dans son billet de blog que le DPC a confirmé « dans sa décision » que Meta ne sera pas tenu de supprimer les données des personnes concernées de l’UE « une fois que le conflit de lois sous-jacent aura été résolu ».