Facebook et sa filiale Instagram ont engagé un bras de fer avec la Data Protection Commission (la CNIL irlandaise), qui leur a intimé de suspendre les transferts de données de l’Europe vers ses Data centers aux États-Unis. En cause, l’invalidation en juillet dernier par la Cour de justice de l’Union européenne (CJUE) du Privacy Shield, l’accord qui encadrait les transferts de données personnelles entre l’Union européenne et les États-Unis. 

Cet accord prévoyait un cadre légal simple pour toutes les entreprises qui hébergent et traitent des données d’utilisateurs européens aux États-Unis. Néanmoins, la CJUE a considéré qu’il ne fournissait pas aux citoyens européens le niveau de protection conforme au RGPD, en raison des outils de surveillance des communications mis en place par les services de sécurité américains.

Les grands acteurs du numérique ont poursuivi leurs transferts de données vers les États-Unis, en s’appuyant sur un autre mécanisme légal : celui des « clauses contractuelles ». Ils considèrent que les accords conclus avec leurs utilisateurs, par exemple lorsqu’ils acceptent les conditions générales d’utilisation d’un service, constituent une base légale suffisante pour envoyer des données aux États-Unis.

La CJUE a ainsi précisé dans sa décision que ces clauses peuvent constituer un cadre légal adapté à condition de présenter un « haut niveau de garanties », notamment contre une surveillance abusive. Chaque entreprise peut donc être amenée à démontrer que les « garanties » qu’elle propose sont suffisantes, ce que la Data Protection Commission demande à Facebook.

La firme californienne avait jusqu’à mi-septembre pour répondre à l’injonction préliminaire de l’Autorité irlandaise de protection des données personnelles. Elle a cependant décidé de porter l’affaire devant la Haute Cour de justice d’Irlande, arguant de la complexité pratique de la demande. Elle serait en effet contrainte d’isoler totalement le stockage des données personnelles des utilisateurs européens. Un enjeu de taille, puisque ce sont les serveurs basés aux États-Unis qui gèrent la distribution des publicités ciblées du groupe. Facebook risque une amende pouvant s’élever jusqu’à 4% de son chiffre d’affaires annuel, soit près de 2,8 milliards de dollars.

Si la décision de l’Autorité irlandaise de protection des données devait être confirmée, elle aurait d’importantes conséquences sur le fonctionnement de Facebook, mais aussi de Google ou Twitter, dont les sièges européens sont aussi installés en Irlande, et qui sont donc aussi concernés par cette problématique de transfert de donnée.

Notre article sur l’invalidation du Privacy Shield : 

https://www.lesechos.fr/tech-medias/hightech/facebook-menace-de-fermer-instagram-en-europe-1247495

https://www.macg.co/ailleurs/2020/09/transfert-des-donnees-eu-vers-us-facebook-menace-de-quitter-leurope-116611

https://www.lemonde.fr/pixels/article/2020/09/14/facebook-le-regulateur-irlandais-menace-de-bloquer-les-transferts-de-donnees-d-europeens-vers-les-etats-unis_6052136_4408996.html