L'équivalent irlandais de la CNIL a lancé une nouvelle enquête sur les conditions dans lesquelles Facebook procède au transfert des données personnelles d'internautes européens aux États-Unis. Le réseau social pourrait recevoir l'ordre de ne plus permettre cette circulation transatlantique.

Pour Facebook, cela s’apparente à un cauchemar qui n’en finit pas. Selon le Wall Street Journal, l’homologue irlandaise de la CNIL s’apprêterait à ordonner à Facebook de cesser de transférer les données personnelles des Européens aux États-Unis. L’autorité de protection des données (Data Protection Commission), basée à Dublin, tirerait ainsi les enseignements juridiques de la fin du Privacy Shield.

Il faut se souvenir que cet été, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt majeur pour les relations transatlantiques. L’instance a annulé l’accord de 2016 qui a été conclu entre la Commission européenne et Washington au sujet de l’envoi, aux USA, des données des internautes européens — puisque les principaux services qu’ils utilisent sur la toile sont de nationalité américaine.

cjue cour justice
L’arrêt de la Cour de justice de l’Union européenne continue de faire des vagues. // Source : Transparency International EU Office

Cette révocation du dispositif, qui est appelé Privacy Shield, ou bouclier de protection des données UE-USA, a été décidée au motif d’un manque d’encadrement des programmes de surveillance mis en place par l’Amérique. La Cour a notamment  fait observer qu’il n’y a aucune garantie juridique pour des personnes non américaines potentiellement visées par ces programmes.

Cette invalidation du Privacy Shield est un problème pour Bruxelles (qui répétait chaque année qu’il était conforme et respectueux du droit européen) et pour Washington, car ce mécanisme était censé combler les insuffisances du précédent cadre, surnommé Safe Harbor, et qui a été lui aussi annulé par la CJUE, en 2015 cette fois, toujours sur fond de surveillance de masse.

Une ordonnance préliminaire envoyée à Facebook

Selon les informations du Wall Street Journal, une ordonnance préliminaire a été envoyée à Facebook à la fin du mois d’août pour exiger qu’il cesse cette circulation des données entre les deux rives de l’Atlantique. Dans cette affaire, la Data Protection Commission irlandaise est en première ligne, puisque c’est en Irlande que Facebook a installé son quartier général pour piloter ses activités en Europe.

Cette fuite dans la presse a attiré l’attention de Max Schrems, le juriste autrichien à l’origine des déboulonnages juridiques du Safe Harbor et du Privacy Shield. Il a accueilli la nouvelle avec intérêt, mais se veut prudent : « Comme pour toutes les fuites, il y a une certaine stratégie derrière tout cela – et certains éléments sont gardés sous le tapis ». Sur son site, un commentaire juridique en anglais plus complet a été mis en ligne.

« Comme pour toutes les fuites, il y a une certaine stratégie derrière tout cela  »

Selon les observations formulées par l’intéressé, et résumées sur Twitter par Thibault Douville, professeur des universités et directeur du master droit du numérique à l’Université de Caen Normandie, Facebook s’appuierait sur une disposition spécifique du Règlement général sur la protection des données (RGPD) pour continuer le transfert des données de l’Europe vers les USA.

Cet article, le n°49, porte sur les dérogations pour des situations particulières. Dans son alinéa b, il est stipulé qu’un transfert de données personnelles vers un pays tiers est possible, y compris en cas d’absence d’adéquation juridique ou de garanties appropriées, s’il « est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ».

Cependant, poursuit Thibault Douville, cette nécessité du transfert pour l’exécution d’un contrat est restreinte juridiquement. « L’article 49 doit être interprété strictement (caractère dérogatoire) », rappelle-t-il, ajoutant que ces transferts doivent être limités ; en clair, occasionnels, et non pas permanents. C’est ce qu’analyse Max Schrems dans son billet juridique.

« En pratique, [cet article] du RGPD peut constituer une base juridique appropriée pour des transferts de données très limités (par exemple lorsqu’un utilisateur européen envoie un message à un utilisateur américain), mais il ne peut être utilisé pour externaliser tout le traitement des données aux États-Unis », est-il écrit. Pour autant, Max Schrems pense que Facebook va camper sur ses positions.

Le RGPD contient diverses dispositions, dont des dérogations très spécifiques. // Source : Illustration par Claire Braikeh pour Numerama

Cette ordonnance préliminaire ou toute autre seconde enquête du Data Protection Commission « n’empêchera pas Facebook de faire valoir que ses transferts de données entre l’UE et les États-Unis restent légaux », cela même si le Safe Harbor et le Privacy Shield ont été annulés, et que le dernier mécanisme en place, les clauses contractuelles types, est menacé.

Les clauses contractuelles types de la Commission européenne constituent un autre dispositif qui sert également à encadrer l’envoi des données personnelles vers les USA. Elles sont utilisées quand la circulation des données se fait en dehors de l’Union, en vue de « faciliter la tâche » des entreprises et des sous-traitants des autres pays. Ces clauses n’ont pas été mises à mal par la CJUE lors de son arrêt de cet été.

Or, comme cela a été relevé peu après l’invalidation du Privacy Shield, à l’image de l’avocat Étienne Wery, les clauses contractuelles types sont utilisables à la condition que les firmes et les sous-traitants qui y font appel se montrent en phase avec la législation européenne, avec un niveau de protection est suffisant et respecté. Sinon, il n’est pas possible de les mobiliser pour ses petites affaires.

Thibault Douville fait remarquer que «  les raisons de l’invalidation du Privacy Shield font que les clauses contractuelles types ne sont pas suffisantes pour fournir un niveau de protection équivalent en cas de transfert de données vers les États-Unis ». Dès lors, cette option ne serait plus accessible à Facebook — d’où sa tentative de se servir de l’article 49 du RGPD, qui prévoit des dérogations.

Selon Max Schrems, la Data Protection Commission a annoncé par courrier le 31 août qu’il va lancer une enquête distincte sur le recours de Facebook aux clauses contractuelles types. La portée et les conséquences de ces investigations restent toutefois à déterminer, d’autant que Facebook semble disposer, pour le moment du moins, d’une possibilité de repli, avec l’article 49 du RGPD.

Facebook pointe les difficultés dans lesquelles l’UE risque de se mettre

Toujours est-il que Facebook a pris la parole appelant à des « règles mondiales qui peuvent garantir un traitement cohérent des données dans le monde entier » — et prévenu que l’invalidation du Privacy Shield, s’il est un souci pour les entreprises américaines, s’avère aussi une difficulté pour les sociétés européennes cherchant à conquérir de nouveaux marchés. Aux États-Unis, mais aussi ailleurs dans le monde.

Réagissant à l’hypothèse selon laquelle les clauses contractuelles types ne pourraient pas être utilisées entre les USA et l’Europe, Facebook prévient que cela  « pourrait avoir un effet très significatif sur les entreprises qui en dépendent et sur les services en ligne dont dépendent de nombreuses personnes et entreprises ». Et cela se retournerait même contre l’Union européenne.

« L’absence de transferts internationaux de données sûrs, sécurisés et légaux nuirait à l’économie et entraverait la croissance des entreprises axées sur les données dans l’Union », continue le réseau social, qui prend différents cas de figure pour illustrer le souci : une société allemande ne pouvant plus faire appel à une société américaine de cloud, ou bien une firme française ne pouvant plus gérer un centre d’appel au Maroc.

facebook oversight monde
Facebook évoque des conséquences funestes sur le plan économique si les données ne circulent plus avec autant de facilité. // Source : Facebook

Et cela irait aussi au-delà du secteur économique. Cela pourrait aussi avoir un impact sur des services publics essentiels tels que la santé et l’éducation. Le site évoque ainsi l’application irlandaise de traçage des contacts contre le covid-19 qui s’appuie justement sur ces clauses contractuelles types pour transférer et traiter aux USA des données collectées localement.

Ces arguments sont toutefois à remettre en perspective : il existe aussi des sociétés en Europe qui sont capables de fournir des prestations de cloud computing. Tout comme il est possible d’installer un centre d’appel sur le Vieux Continent. Et qu’il n’y a pas de raison non plus d’aller vers un nivellement par le bas : c’est peut-être à Facebook, aux entreprises tech et à la législation américaine de revoir ses pratiques et de caler aux standards européens — et non l’inverse.

Quoiqu’il en soit, comme le fait remarquer le Wall Street Journal, l’issue de cette seconde enquête pourrait représenter un défi opérationnel et juridique non pas seulement pour Facebook, mais aussi être un obstacle pour les autres géants de la tech américaine qui s’adressent au marché européen. À moyen terme, cela pose aussi la question de la localisation des données sur le territoire de l’Union européenne, si les garanties juridiques ne sont pas là.

Partager sur les réseaux sociaux

La suite en vidéo