L’Irlande interdit à Facebook le transfert de données Europe / Etats-Unis

Spread the love
L'Irlande interdit à Facebook le transfert de données Europe / Etats-Unis

C’est un coup dur pour Facebook et une véritable menace pour les GAFA sur le marché numérique européen. Le Wall Street Journal affirme que Facebook a reçu “une ordonnance préliminaire de suspension des transferts de données vers les États-Unis concernant ses utilisateurs européens”.

C’est la Commission irlandaise de protection des données (équivalent de la Cnil en France) qui est à l’origine de cette demande. Cette décision fait suite à l’invalidation du Privacy Shield par la justice européenne en juillet dernier. La commission irlandaise des données joue un rôle majeur dans le cercle des différentes Cnil européennes car, outre Facebook, elle dirige l’application de la législation européenne en matière de protection de la vie privée pour plusieurs grandes entreprises technologiques, dont Google, Apple et Twitter.

La décision qui rend illégal le transferts d’informations personnelles sur des Européens sur le sol américain, les autorités européennes ayant constaté que de ce fait, les Européens n’ont aucun moyen efficace de contester la surveillance du gouvernement américain. “L’absence de transferts de données internationaux sûrs, sécurisés et légaux nuirait à l’économie et empêcherait l’émergence d’entreprises axées sur les données en provenance de l’UE” indique de son côté au WSJ Nick Clegg, responsable de communications de Facebook.

publicité

Facebook n’a plus qu’une semaine pour répondre

L’organisation irlandaise a donné à Facebook jusqu’à la semaine prochaine pour répondre à son injonction.

Pour se conformer à cette demande, Facebook devra faire face à des choix particulièrement rudes. L’entreprise pourrait réorganiser son service afin d’isoler la plupart des données qu’il collecte auprès des utilisateurs européens. Elle pourrait également aussi cesser de proposer des services aux clients européens. Mais quel GAFA, si puissant soit-il, serait prêt à délaisser le marché européen ?

Elle pourrait également faire fi des demandes européennes. En ce cas, l’équivalent de la Cnil en Irlande pourrait infliger à Facebook une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires annuel, soit 2,8 milliards de dollars. Facebook pourrait enfin contester l’ordonnance devant les tribunaux.

Une grosse alerte pour l’ensemble des Gafa

Il s’agit cependant d’un avertissement pour les grandes entreprises technologiques qui opèrent en Europe, tout comme pour les liens commerciaux transatlantiques. L’enjeu politique est lui aussi très fort. Une telle décision pourrait elle inciter les États-Unis à modifier leurs lois de surveillance pour que les transferts de données reprennent ? Rien n’est moins sur.

Depuis l’invalidation du Privacy Shield en juillet dernier, l’UE et des des fonctionnaires américains ont entamé des négociations pour établir une nouvelle façon pour les entreprises d’envoyer des données sur les Européens aux États-Unis qui serait conforme aux exigences de la cour. Mais “il n’y aura pas de solution miracle”, a déclaré le commissaire européen à la justice, Didier Reynders, au Parlement européen la semaine dernière.

Pour maintenir la circulation des données entre l’UE et les États-Unis, les deux partenaires avaient négocié à la fin des années 1990 un système spécial, appelé “Safe Harbor”, dans le cadre duquel les entreprises qui envoient des données européennes aux États-Unis peuvent choisir de se conformer à des règles de type européen, appliquées par le gouvernement américain.

Les suites de l’affaire Snowden

Mais au vu des révélations faites par Edward Snowden en 2013, il est vite apparu que la sécurité promise par le Safe Harbor n’était pas au rendez-vous. La Cour de justice de l’UE a annulé le système en 2015. L’Union européenne et les États-Unis ont alors rapidement élaboré un cadre de remplacement, appelé “Privacy Shield”, qui a ajouté des protections supplémentaires. C’est ce système qui a été dénoncé à l’été.

Les juges ont alors expliqué avoir cherché à déterminer si le Privacy Shield était en accord avec le RGPD, le texte qui encadre en Europe la question des données personnelles. Et la réponse est non. La Cour estime que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ». En d’autres termes : la législation américaine n’offre pas autant de garanties que les législations européennes en matière de protection des données, notamment dans les cas de figure autorisant les autorités à accéder aux données.

Les entreprises peuvent également utiliser un système pré-approuvé par l’UE, appelé clauses contractuelles types, par lesquelles les entreprises s’engageaient à respecter les normes européennes en matière de protection de la vie privée.

L’annulation du Privacy Shield n’a pas semblé dans un premier temps jouer sur le système des clauses contractuelles types. Mais cette décision de l’Irlande contre Facebook montre bien que les clauses contractuelles types ne sont pas suffisantes aux yeux de l’Europe désormais.

Leave a Reply