Suite à l’invalidation du Privacy Shield en juillet 2020, la Commission irlandaise de protection des données ou CNIL adresse une ordonnance à Facebook lui interdisant de transférer les données des utilisateurs européens vers les États-Unis. Une décision qui enchante peu le géant américain. Avant d’adhérer à quoi que ce soit, ce dernier entend attendre d’amples informations de la part de la Data Protection Commission (DPC) en charge du respect du Règlement général sur la protection des données (RGPD).
Les échos de l’invalidation du Privacy Shield de juillet dernier
Vers 2015 et 2016, l’Union Européenne conçoit la mise en application du Privacy Shield sur son territoire. Ce dernier agréait les transferts des données personnelles des entreprises européennes vers les États-Unis, sous condition que la législation américaine délivre les mêmes avantages et garanties que celles du droit européen à travers des clauses contractuelles types.
Cependant, la Cour de Justice de l’Union Européenne (CJUE) décide d’invalider cette convention au mois de juillet 2020. Cette décision est motivée en partie par le fait que les Européens ne disposaient a priori d’aucun moyen concret permettant d’éviter une éventuelle surveillance du gouvernement américain à travers les circulations d’informations de cet accord.
La Data Protection Commission (DPC) en profite pour ouvrir une enquête sur les processus de transfert de données de Facebook. Par la même occasion, la CNIL irlandaise somme l’entreprise américaine de suspendre aussitôt tout transfert de données des utilisateurs européens vers ceux d’outre-Atlantique. Selon le Wall Street Journal du 9 septembre, Facebook aurait reçu une injonction préliminaire vers la fin du mois d’août de la part de la commission irlandaise.
La position de Facebook face à la décision de la CNIL irlandaise
Cette décision de la CNIL irlandaise assène un réel coup dur à Facebook. Le vice-président des affaires publiques et de la communication de la firme, Nick Clegg, est interloqué par la position de la CNIL irlandaise. Pour cause, il pensait que le juge européen avait admis le processus des clauses contractuelles types du Privacy Shield. Ces clauses s’appuyaient sur un transfert légal des données vers les États-Unis.
Au vu de la situation, Facebook récuse alors les demandes de la commission irlandaise. Nick Clegg affirme dans un billet de blog les intentions de la firme quant aux transferts des données suivant l’arrêt de la CJUE de juillet dernier, et ce, jusqu’à recevoir de « plus amples informations ».
Campant sur ses positions, Facebook risque toutefois une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires annuel mondial. Et cela sous réserve d’une violation du RGPD.
Amende ou second Privacy Shield : quelle sortie de secours pour Facebook ?
Pour se sortir de ce guêpier, la firme américaine devra peut-être se contraindre aux requêtes de la CNIL irlandaise. Elle pourrait avoir à réorganiser son service de sorte à isoler les données des utilisateurs européens ou au pire, cesser son activité sur le territoire de l’Union Européenne. Sinon, elle peut maintenir son activité actuelle en s’acquittant de l’amende imposée par la justice européenne. Une somme qui peut lui sembler dérisoire au vu de son chiffre d’affaires de 17,7 milliards de dollars. Autrement, l’adoption d’un second Privacy Schield pourrait éventuellement dépêtrer l’entreprise de ce bourbier. Cette solution est envisageable, mais encore compromise par les élections américaines.
Pour le moment, on attend la décision de la CNIL irlandaise quant à invalider ou non les clauses contractuelles types de Facebook. Cependant, empêcher le transfert de données personnelles transatlantiques pourrait non seulement coûter une jambe à Facebook, mais aussi à d’autres entreprises américaines comme Twitter évoluant sur le marché européen.