L’autorité irlandaise de protection des données personnelles vient d’ordonner à Facebook de suspendre l’envoi de données d’utilisateurs européens aux États-unis. Une première, qui fait suite à l’invalidation en juillet dernier du Privacy Shield qui couvrait jusque-là les transferts de données entre les deux continents.
Après l’invalidation du Safe Harbor, si de nombreuses entreprises s’étaient senties menacées, les transferts de données personnelles entre l’UE et les États-Unis n’avaient pas cessés. Certains outils permettaient en effet de poursuivre l’envoi de données, à l’instar des BCR ou des clauses contractuelles type. Une fois son successeur, le Privacy Shield, adopté et mis en place en août 2016, la situation s’en trouvait clarifiée. Toutefois jamais les autorités européennes de protection des données personnelles ne s’en sont dites totalement satisfaites. Principale raison de cette défiance, les réticences américaines notamment à fournir des moyens de recours aux citoyens européens contre la surveillance gouvernementale.
Et ce qui devait arriver arriva. En juilllet dernier, la Cour européenne de justice, se prononçant sur un dossier similaire à celui du Safe Harbor, invalide le Privacy Shield. La Cnil et ses homologues européennes se réjouissent, et annoncent travailler conjointement à une analyse de l’arrêt de la Cour, afin d’en tirer “les conséquences pour les transferts de données de l’Union européenne vers les États-Unis”. La Data Protection Commission irlandaise a été la première à dégainer.
Suspension des transferts
On a appris ce matin dans les pages du Wall Street Journal que le régulateur irlandais a envoyé fin août à Facebook une injonction préliminaire de suspension des transferts de données vers les États-Unis concernant ses utilisateurs de l'UE. Un ordre qui s’inscrit dans le cadre d’une enquête menée par la Data Protection Commission. En conséquence de quoi le réseau social à jusqu’à mi-septembre pour se conformer à l’injonction, en séparant les données collectées auprès de ses utilisateurs européens des autres, ou encore en interrompant leur collecte, sans quoi il s’expose à une amende pouvant s’élever à 2,8 milliards de dollars.
L’information a été par la suite confirmée par Facebook, qui explique dans une publication de blog que l’enquête menée par l’autorité irlandaise suggérait que Facebook ne pouvait s’appuyer sur un contrat type pour transférer les données des utilisateurs européens vers les États-Unis. La réaction du géant américain est particulièrement mesurée : il y reconnaît que, si les clauses contractuelles types restent valables aux yeux de la CJUE, l’invalidation du Privacy Shield justifie une discussion autour des ces outils.
Un précédent
Toutefois, Facebook y voit un risque qui le dépasse largement. Si l’injonction crée un précédent, toutes les entreprises s’appuyant sur les clauses contractuelles type pourraient se voir concernées. ”L'impact serait ressenti par les entreprises, grandes et petites, dans de multiples secteurs. Dans le pire des cas, cela pourrait signifier qu'une petite start-up technologique en Allemagne ne pourrait plus utiliser un fournisseur de cloud basé aux États-Unis. Une société espagnole de développement de produits ne pouvait plus être en mesure d'exécuter une opération sur plusieurs fuseaux horaires. Un détaillant français peut constater qu'il ne peut plus maintenir un centre d'appels au Maroc” écrit l’entreprise.
Mais Facebook ne précise pas comment il compte appliquer l’injonction, ou s’il compte l’attaquer. D’autant que l’injonction est préliminaire et pourrait être révisée avant d’être finalisée, un processus qui pourrait prendre plusieurs mois.
La Data Protection Commission doit en outre accorder son violon avec ceux des 26 autres autorités européennes, et prévoit de leur soumettre un nouveau projet d’ordonnance visant Facebook. Ce dernier explique “reconnaître que la création d'un cadre durable qui soutient des flux de données sans friction vers d'autres pays et systèmes juridiques, tout en garantissant que les droits fondamentaux des utilisateurs de l'UE sont respectés, n'est pas une tâche facile et prendra du temps” et exhorte les régulateurs à “adopter une approche proportionnée et pragmatique pour minimiser les perturbations pour les milliers d'entreprises qui, comme Facebook, s'appuient de bonne foi sur ces mécanismes pour transférer des données en un moyen sûr et sécurisé”.