Un nouveau cadre européen pourrait exiger que Facebook cesse d’envoyer des données européennes aux Etats-Unis. En conséquence, l’accès à Facebook et Instagram pourrait être diminué, voire interrompu.

Facebook et Instagram pourraient-ils devenir inaccessibles en Europe dès cet été ? C’est le scénario qui est en train de prendre forme, au moins partiellement, sur le Vieux Continent. En tout cas, si le réseau social américain ne prend pas très vite des mesures pour assurer le fonctionnement de son service sans avoir besoin de transférer les données des internautes européens aux Etats-Unis.

Dans son édition du 7 juillet 2022, le journal Politico rapporte que l’équivalent irlandais de la Commission nationale de l’informatique et des libertés (Cnil) a prévenu ses homologues en Europe qu’elle prévoit d’empêcher Meta, la maison mère de Facebook et d’Instagram, d’envoyer les données des utilisateurs de l’Europe vers les États-Unis.

Suspension des envois de données vers les USA

Résultat des courses, il pourrait ne plus y avoir aucun cadre légal autorisant ce type de transfert transatlantique. Dans ces conditions, sauf à enfreindre la décision de la DPC (Data Protection Commission) et s’exposer à des représailles judiciaires, il ne sera plus possible pour le site communautaire de proposer ses produits en Europe, en tout cas dans les conditions actuelles.

Cela veut-il dire que Facebook et Instagram vont fermer ? En tout cas, ils pourraient ne plus opérer en Europe. C’est un scénario que le réseau social a déjà suggéré par le passé, pour mettre la pression sur le Vieux Continent. Déjà en février, l’entreprise américaine a suggéré qu’elle ne pourrait pas rester en Europe si les règles encadrant le transfert des données volaient en éclats.

facebook_blue_2
Facebook pourrait se retrouver dans une situation compliquée pour fonctionner en Europe, si rien ne change. // Source : Nino Barbey pour Numerama

Le rôle de la commission irlandaise dans ce dossier est de tout premier ordre, car c’est en Irlande que Facebook a installé son quartier général pour superviser ses affaires européennes. Elle agit en tant qu’autorité cheffe de file pour le compte des autres organismes de régulation, comme la Cnil en France, et leur rend compte des actions qu’elle mène.

Et justement. Selon un porte-parole du DPC cité par Politico, le projet de décision de l’instance a été transmis aux autres autorités en charge de la protection de la vie privée afin qu’elles puissent adresser leurs commentaires. Celles-ci ont un mois pour partager leur point de vue. Sur cette base, le DPC pour actualiser son plan et le rendre effectif auprès de Meta.

Ces dernières années, le cadre réglementaire qui fixe normalement ces transferts transatlantiques a volé en éclats. Le Safe Harbor a été invalidé, tout comme le Privacy Shield. Un troisième dispositif a été promis, mais il reste à concrétiser. Et rien ne dit qu’il ne subira pas à son tour un dynamitage des juridictions européennes. En tout cas, les Cnil européennes attendent de voir.

Le seul lien qui demeure est un mécanisme appelé clauses contractuelles types, mais la Cour de Justice de l’Union a rendu plus difficile l’utilisation de ce dispositif dont profitent nombre d’entreprises américaines. Ces deux annulations (Safe Harbor et Privacy Shield) et ce serrage de vis sur les clauses sont le résultat des craintes autour des programmes de surveillance américains.

Les activités américaines en matière de surveillance en ligne sont à l’origine des perturbations transatlantiques sur le transfert des données

Ces programmes, dont l’existence a été mise en évidence par les révélations d’Edward Snowden en 2013, ont nourri la défiance l’égard des pratiques outre-Atlantique. Ils ont remis en cause le niveau de protection des données personnelles accordé aux Européens à travers les deux accords précédents conclus entre Bruxelles et Washington.

Pour Facebook, la difficulté devient croissante de continuer comme si de rien n’était alors que le cadre juridique est en train d’évoluer rapidement. La décision de la DPC pourrait priver le réseau social des clauses contractuelles types. C’est pour cela que le site fait ponctuellement entendre une petite musique sur un risque de fermeture, pour que l’Europe mesure la portée de ses décisions.

Le scénario le plus radical n’est toutefois pas certain de se produire. D’abord, parce qu’il y a encore quelques semaines de délai avant le verdict définitif du DPC, éclairé par les retours des autres instances européennes. Ensuite, parce que Meta fera sans doute en sorte de continuer à fournir Facebook et Instagram, en tenant compte de cette nouvelle juridique.

Facebook a beau brandir un départ d’Europe, ce marché toutefois suffisamment gros pour réfréner certaines ardeurs — too big to leave, en quelque sorte, exactement de la même façon qu’il y a des banques trop grosses pour chuter. Too big to fail. Et puis, le réseau social n’ignore pas non plus l’accord politique entre l’Europe et les USA pour un troisième cadre, qui pourrait être son ultime filet de sécurisé.