Facebook perd une manche dans le match qui décidera de l'avenir du transfert des données d'Européens aux USA. En Irlande, la justice a autorisé la Cnil locale à poursuivre son enquête, qui pourrait s'avérer très défavorable pour le réseau social américain.

L’interminable bataille juridique sur la légalité des transferts, effectués par Facebook, de données des internautes européens vers les États-Unis se poursuit, avec un récent développement en défaveur du réseau social. En effet, il a été rapporté dans la presse que le site communautaire a perdu une manche devant la justice irlandaise, en tentant de contrer une nouvelle enquête contre lui.

Concrètement, la décision rendue le 13 mai dernier par la Haute Cour autorise la Data Protection Commission (DPC), c’est-à-dire la Commission nationale de l’informatique et des libertés (Cnil) locale, de mener une seconde enquête de son propre chef sur ces transferts transatlantiques. La DPC est en première ligne dans cette affaire, car c’est en Irlande que Facebook supervise ses activités en Europe.

Facebook avait avancé des arguments de procédure pour tenter de faire barrage à un verdict qui ouvrirait la voie à une reprise des investigations irlandaises, mais ils ont été balayés par la Haute Cour. Le réseau social avait notamment argué que le régulateur local lui avait laissé trop peu de temps pour répondre, et avait également rendu un jugement prématuré.

Une procédure aux multiples rebondissements

La nouvelle a évidemment été immédiatement saluée par l’association Noyb (None of your Business), dirigée par l’activiste et juriste autrichien Max Schrems. Un communiqué paru le 13 mai estime désormais que la DPC ne peut désormais que rendre une décision qui oblige Facebook à arrêter le transfert des données de l’Europe vers les USA. Max Schrems en fait la prédiction pour toutes prochaines semaines.

« Nous nous attendons maintenant à ce que la DPC rende une décision pour arrêter les transferts de données de Facebook avant l’été. Cela obligerait Facebook à stocker localement la plupart des données provenant d’Europe, afin de garantir que Facebook USA n’ait pas accès aux données européennes. L’autre option serait que les États-Unis modifient leurs lois sur la surveillance », déclare-t-il.

La procédure à l’encontre de Facebook remonte à 2013, année durant laquelle Edward Snowden a fait ses révélations sur les programmes de surveillance des États-Unis sur Internet. Depuis, une bataille juridique s’est engagée pour empêcher les entreprises américaines, notamment Facebook, d’envoyer des données aux USA, là où elles pourraient être justement exposées à ces programmes.

L’affaire contre Facebook a aujourd’hui de nombreux développements, qui sont difficiles à suivre. L’association Noyb fournit néanmoins un schéma montrant les grandes étapes qui sont survenues depuis plus de sept ans maintenant. Désormais, il y a deux procédures distinctes sur la table de la DPC qui, aux yeux de Noyb, doivent mener d’une façon ou d’une autre à l’interruption de ces flux de données.

Un schéma, en anglais, résumant les grandes étapes de la bataille juridique sur le transfert des données de Facebook entre l’Europe et les USA. // Source : Noyb

La décision de justice rendue mi-mai est procédurale, mais elle pourrait avoir de fortes conséquences sur les relations numériques transatlantiques, selon les suites qui lui sont données. Elle s’inscrit par ailleurs dans un contexte où deux cadres juridiques censés fixer les règles du jeu de ce transfert ont volé en éclats : le Safe Harbor en 2015 et le Privacy Shield en 2020.

Les invalidations de ces deux dispositifs ont pour point commun Max Schrems, qui est devenu en moins de dix ans l’une des bêtes noires des géants du web. Il est en effet le point de départ des procédures ayant fait tomber le Safe Harbor et le Privacy Shield. Maintenant, Facebook pourrait se retrouver contraint de devoir suspendre l’envoi d’informations outre-Atlantique.

Cette perspective alarme le réseau social, qui l’automne dernier mettait en garde l’Union européenne sur les conséquences économiques qui pourraient survenir sans un cadre qui organise la circulation des données personnelles entre les deux continents. L’entreprise américaine prévenait que cela ne concernerait pas uniquement son cas, mais toutes les autres entreprises qui appliquent des transferts identiques.

Partager sur les réseaux sociaux

La suite en vidéo