Meta doit suspendre les flux de données de Facebook dans l’UE, car elle est frappée d’une amende record de 1,2 milliard d’euros en vertu du GDPR

Crédits d’image : Justin Sullivan / Getty Images

C’est enfin arrivé : Meta, l’entreprise anciennement connue sous le nom de Facebook, a été frappée d’une ordonnance de suspension formelle l’obligeant à cesser d’exporter les données des utilisateurs de l’Union européenne vers les États-Unis à des fins de traitement.

Aujourd’hui, la Comité européen de la protection des données (EDPB) a annoncé que Meta a été condamné à une amende de 1,2 milliard d’euros (près de 1,3 milliard de dollars) – ce qui, selon le Conseil, est la plus grosse amende jamais infligée en vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne. (Le record précédent revient à Amazon qui s’est vu infliger une amende de 887 millions de dollars pour avoir utilisé abusivement les données de ses clients à des fins de ciblage publicitaire en 2021).

Meta est sanctionné pour avoir enfreint les conditions définies dans le règlement paneuropéen régissant les transferts de données personnelles vers des pays dits tiers (en l’occurrence les États-Unis) sans assurer une protection adéquate des informations des personnes.

Les juges européens ont déjà estimé que les pratiques de surveillance américaines étaient contraires aux droits de l’UE en matière de protection de la vie privée.

Dans un communiqué de presse annonçant la décision d’aujourd’hui, la présidente de l’EDPB, Andrea Jelinek, a déclaré :

L’EDPB a constaté que les [Ireland’s] est très grave car elle concerne des transferts qui sont systématiques, répétitifs et continus. Facebook compte des millions d’utilisateurs en Europe, le volume de données personnelles transférées est donc considérable. L’amende sans précédent est un signal fort pour les organisations que les infractions graves ont des conséquences importantes.

À l’heure où nous écrivons ces lignes, la Commission irlandaise de protection des données (DPC), l’organe chargé de mettre en œuvre la décision contraignante de l’EDPB, n’a pas fait de commentaires. (Mais son est disponible ici.)

Meta a rapidement publié un article de blog avec sa réponse à l’ordonnance de suspension, dans laquelle elle confirme qu’elle fera appel, qualifiant l’amende d' »injustifiée et inutile ». L’entreprise a également tenté d’imputer le problème à un conflit entre les législations européenne et américaine, plutôt qu’à ses propres pratiques en matière de protection de la vie privée. Nick Clegg, président des affaires mondiales, et Jennifer Newstead, directrice juridique, ont écrit à ce sujet :

Nous faisons appel de ces décisions et demanderons immédiatement un sursis aux tribunaux qui peuvent suspendre les délais de mise en œuvre, étant donné le préjudice que ces ordonnances causeraient, y compris aux millions de personnes qui utilisent Facebook chaque jour.

En avril dernier, le géant de la publicité a averti les investisseurs qu’environ 10 % de ses recettes publicitaires mondiales seraient menacées si la suspension des flux de données de l’UE était effectivement mise en œuvre.

Interrogé avant la décision sur les préparatifs effectués en vue d’une éventuelle suspension, Matthew Pollard, porte-parole de Meta, a refusé de fournir des « indications supplémentaires ». Au lieu de cela, il a renvoyé à une déclaration antérieure dans laquelle l’entreprise affirmait que l’affaire concernait un « conflit historique entre les lois européennes et américaines » qui, selon elle, était en cours de résolution par les législateurs européens et américains qui travaillaient sur un nouvel accord de transfert de données transatlantique. Toutefois, le nouveau cadre transatlantique de transfert de données auquel M. Pollard fait référence n’a pas encore été adopté.

Il convient également de noter que si l’amende et l’ordre de suspension d’aujourd’hui sont limités à Facebook, Meta est loin d’être la seule entreprise affectée par l’incertitude juridique actuelle liée aux transferts de données entre l’UE et les États-Unis. Il est donc probable que la pression s’accentue sur les législateurs des deux côtés de l’Atlantique pour faire passer l’accord.

La décision du CPD irlandais fait suite à une plainte déposée contre la filiale irlandaise de Facebook. Il y a près de dix ans, Max Schrems, militant pour la protection de la vie privée, a critiqué avec véhémence le principal régulateur de la protection des données de Meta dans l’UE, accusant le régulateur irlandais de suivre un chemin volontairement long et sinueux afin d’empêcher l’application effective des règles de l’Union européenne.

Sur le fond de sa plainte, M. Schrems affirme que le seul moyen sûr de résoudre le problème des flux de données entre l’UE et les États-Unis est que ces derniers prennent le taureau par les cornes et réforment leurs pratiques en matière de surveillance.

Répondant à l’ordonnance d’aujourd’hui dans une déclaration (via son organisation à but non lucratif de défense des droits de la vie privée, noyb), il a déclaré : « Nous sommes heureux de cette décision après dix ans de procédure. L’amende aurait pu être beaucoup plus élevée, étant donné que l’amende maximale est de plus de 4 milliards et que Meta a sciemment enfreint la loi pour faire du profit pendant dix ans. À moins que les lois américaines sur la surveillance ne soient modifiées, Meta devra restructurer fondamentalement ses systèmes.

Pour sa part, le DPC – qui supervise la conformité au GDPR de plusieurs géants de la technologie dont les sièges régionaux sont situés en Irlande – rejette régulièrement les critiques selon lesquelles ses actions créent un goulot d’étranglement pour l’application de la loi, arguant que ses processus reflètent ce qui est nécessaire pour effectuer une diligence raisonnable sur des cas transfrontaliers complexes. Elle cherche aussi souvent à rejeter la responsabilité des retards dans la prise de décision sur d’autres autorités de surveillance qui soulèvent des objections à ses projets de décision.

Toutefois, il convient de noter que les objections aux projets de décision du CPD à l’encontre des grandes entreprises technologiques ont conduit à une application plus stricte par le biais d’un mécanisme de coopération intégré dans le GDPR – comme dans l’affaire décisions antérieures contre Meta et Twitter.

Cela suggère que l’autorité de régulation irlandaise a l’habitude de sous-l’application du GDPR sur les plateformes numériques les plus puissantes et ce, d’une manière qui crée des problèmes supplémentaires pour le fonctionnement efficace du règlement puisqu’il étrangle le processus d’application. (Dans l’affaire des flux de données de Facebook, par exemple, des objections ont été soulevées à l’encontre du projet de décision du CPD dernier mois d’août – il a donc fallu neuf mois pour passer de ce projet à la décision finale et à l’ordonnance de suspension). En outre, si l’on fait traîner l’application de la loi assez longtemps, on peut laisser suffisamment de temps pour déplacer les poteaux d’un point de vue politique afin que l’application de la loi ne soit jamais nécessaire. Ce qui, bien que manifestement pratique pour les géants de la technologie qui exploitent les données comme Meta, tourne en dérision les droits fondamentaux des citoyens.

Comme indiqué ci-dessus, avec la décision d’aujourd’hui, le DPC met en œuvre une décision contraignante prise par l’EDPB le mois dernier afin de régler le désaccord en cours sur le projet de décision de l’Irlande – ainsi, une grande partie de la substance de ce qui est ordonné à Meta aujourd’hui provient, non pas de Dublin, mais de l’organe de supervision de l’Union pour les régulateurs de la protection de la vie privée.

Cela inclut apparemment l’existence d’une sanction financière – puisque le Conseil note qu’il a demandé au DPC de modifier son projet pour inclure une sanction, en écrivant : « Le DPC a été informé de l’existence d’une sanction financière et de l’existence d’une sanction financière :

Compte tenu de la gravité de l’infraction, l’EDPB a estimé que le point de départ du calcul de l’amende devait se situer entre 20 % et 100 % du maximum légal applicable. L’EDPB a également demandé à l’autorité de protection des données de l’Irlande d’ordonner à Meta IE de mettre ses opérations de traitement en conformité avec le chapitre V du GDPR, en cessant le traitement illicite, y compris le stockage, aux États-Unis de données à caractère personnel d’utilisateurs européens transférées en violation du GDPR, dans un délai de six mois à compter de la notification de la décision finale de l’autorité de surveillance de l’Irlande.

La sanction maximale légale applicable à Meta en vertu du GDPR est de 4 % de son chiffre d’affaires annuel global. Et puisque son chiffre d’affaires annuel l’année dernière était de 116,61 milliards de dollars, l’amende maximale aurait été de plus de 4 milliards de dollars. L’autorité de régulation irlandaise a donc choisi d’infliger à Meta une amende nettement inférieure à ce qu’elle aurait pu (mais tout de même bien supérieure à ce qu’elle aurait voulu).

Dans d’autres remarques publiques aujourd’hui, Schrems a une fois de plus critiqué l’approche du DPC, accusant l’autorité de régulation de travailler essentiellement pour contrecarrer l’application du GDPR. « Il nous a fallu dix ans de litiges contre l’autorité irlandaise de protection des données. DPC pour arriver à ce résultat. Nous avons dû engager trois procédures contre la DPC et risqué des millions de frais de procédure. L’autorité de régulation irlandaise a tout fait pour éviter cette décision, mais elle a été systématiquement déboutée par les tribunaux et les institutions européennes. Il est assez absurde que l’amende record soit infligée à l’Irlande, l’État membre de l’UE qui a tout fait pour que cette amende ne soit pas infligée », a-t-il déclaré.

Quelle est la suite des événements pour Facebook en Europe ?

Rien dans l’immédiat. La décision prévoit une période de transition d’environ six mois avant la suspension des flux de données, de sorte que le service continuera à fonctionner dans l’intervalle. (Plus précisément, Meta s’est vu accorder une période de transition de cinq mois pour suspendre tout transfert futur de données à caractère personnel vers les États-Unis, ainsi qu’un délai de six mois pour mettre fin au traitement et/ou au stockage illicites des données d’utilisateurs européens qu’elle a précédemment transférées sans base juridique valable).

Meta a également déclaré qu’elle ferait appel et semble chercher à suspendre la mise en œuvre pendant qu’elle présente ses arguments au tribunal.

Schrems a précédemment suggéré l’entreprise devra – en fin de compte – fédérer l’infrastructure de Facebook afin de pouvoir offrir aux utilisateurs européens un service qui ne nécessite pas l’exportation de leurs données vers les États-Unis à des fins de traitement. Mais, en à court terme, Meta semble pouvoir éviter de devoir suspendre les flux de données entre l’UE et les États-Unis, puisque la période de transition prévue dans la décision d’aujourd’hui devrait lui laisser suffisamment de temps pour adopter l’accord transatlantique de transfert de données susmentionné.

Des rapports antérieurs ont suggéré que la Commission européenne pourrait adopter le nouvel accord sur les données entre l’UE et les États-Unis en juillet, bien qu’elle ait refusé de fournir une date à ce sujet, car elle affirme que de nombreuses parties prenantes sont impliquées dans le processus.

Un tel calendrier signifierait que Meta dispose d’une nouvelle porte de sortie pour éviter d’avoir à suspendre les services de Facebook dans l’UE, et qu’il peut continuer à s’appuyer sur ce mécanisme de haut niveau tant qu’il est en place.

Si c’est ainsi que se déroule la prochaine partie de cette tortueuse saga de plaintes, cela signifiera qu’une affaire contre les transferts illégaux de données de Facebook, qui remonte à près de dix ans à ce stade, sera, une fois de plus, laissée en suspens – ce qui soulève la question de savoir s’il est vraiment possible pour les Européens d’exercer les droits légaux énoncés dans le GDPR ? (Et, en fait, si les géants de la technologie aux poches profondes, dont les rangs sont remplis d’avocats et de juristes bien rémunérés, sont en mesure d’exercer leurs droits légaux dans le cadre du GDPR ? lobbyistes, peuvent-ils être réglementés ?)

Dans le même temps, on s’attend à ce que le nouvel accord transatlantique sur le transfert de données fasse l’objet de recours juridiques et M. Schrems estime que le pacte UE-États-Unis a une chance infime de survivre à un examen juridique.

Meta et d’autres géants américains dont les modèles économiques reposent sur l’exportation de données à des fins de traitement au-delà de l’Atlantique pourraient donc se retrouver bientôt dans ce cercle vicieux.

« Meta prévoit de s’appuyer sur le nouvel accord pour les transferts à l’avenir, mais il ne s’agit probablement pas d’une solution permanente », a suggéré M. Schrems. « À mon avis, le nouvel accord a peut-être dix pour cent de chances de ne pas être annulé par la CJUE. À moins que les lois américaines sur la surveillance ne soient modifiées, Meta devra probablement conserver les données de l’UE dans l’UE.

La question se pose également de savoir si Meta sera toujours tenu de supprimer les transferts de données historiques, étant donné qu’il ne disposait d’aucune base juridique pour ces transferts.

Tout nouveau mécanisme transatlantique ne devrait s’appliquer qu’aux flux de données futurs, et non aux exportations passées. Cela pourrait donc créer un casse-tête permanent pour Meta. Des documents internes ayant fait l’objet d’une fuite suggèrent que l’entreprise ne dispose pas de contrôles adéquats sur ses flux de données publicitaires internes, ce qui pourrait faire du respect d’une ordonnance de suppression sélective des données des Européens un cauchemar coûteux pour le géant de l’adtech.

Bien que Meta semble croire qu’il a carte blanche de l’Irlande pour ne pas s’inquiéter à ce sujet – affirmant dans son blog que le DPC a confirmé « dans sa décision » que Meta ne sera pas tenu de supprimer les données des personnes concernées de l’UE « une fois que le conflit de loi sous-jacent a été résolu ». (Nous avons demandé à Meta à quelle partie de la décision elle se réfère, lorsqu’elle cite l’exemple de la suppression des données, et nous mettrons à jour ce rapport avec toute réponse).

Nous avons également contacté le DPC pour lui demander s’il avait fourni à Meta des garanties sur la suppression des données historiques. Mais le commissaire adjoint, Graham Doyle, a suggéré que la question devait être adressée à Meta. « Je crois comprendre que les décisions de l’EDPB et du DPC ne font pas référence à la suppression, mais à la mise en conformité du traitement – c’est peut-être ce à quoi Meta fait référence, mais je ne le sais pas sans leur demander », a-t-il ajouté, sans donner de réponse directe.

Comment en sommes-nous arrivés là ?

Comment en effet.

M. Schrems a agi dans le sillage des préoccupations soulevées en 2013 par le dénonciateur de la NSA, Edward Snowden, qui a révélé comment les programmes de surveillance du gouvernement américain recueillaient les données des utilisateurs des sites de médias sociaux (PRISM), parmi une myriade de révélations sur l’étendue des pratiques de surveillance de masse dans ce qui a été connu sous le nom de « révélations Snowden ».

C’est important parce que le droit européen consacre des protections pour les données personnelles que Schrems soupçonne d’être mises en danger par les lois américaines qui donnent la priorité à la sécurité nationale et confèrent aux agences de renseignement des pouvoirs étendus pour espionner les informations des utilisateurs d’Internet.

Les plaintes initiales de M. Schrems visaient en fait un certain nombre de géants de la technologie pour leur conformité présumée avec les programmes de collecte de données PRISM des agences de renseignement américaines. Mais en juillet 2013, deux de ces plaintes, contre Apple et Facebook, ont été rejetées par l’autorité irlandaise de protection des données, qui a accepté leur enregistrement dans le cadre d’un système d’adéquation des données entre l’UE et les États-Unis qui était en place à l’époque (Safe Harbor), arguant qu’il permettait de dissiper toute inquiétude liée à la surveillance.

Schrems a fait appel de la décision du régulateur auprès de la Haute Cour irlandaise, qui a saisi la Cour de justice de l’UE (CJUE), ce qui a conduit, en octobre 2015, à l’annulation par la plus haute juridiction de l’Union de la sphère de sécurité, les juges ayant estimé que l’accord de transfert de données n’était pas sûr, car il n’assurait pas l’équivalence essentielle requise du régime de protection des données de l’UE pour l’exportation de données vers les États-Unis. Cette décision est connue sous le nom de Schrems I. (Attendez Schrems II.)

Quelques mois après que la CJUE a lâché sa bombe, M. Schrems a déposé une nouvelle plainte contre Facebook en Irlande, demandant à l’autorité de protection des données de suspendre les flux de données entre l’UE et les États-Unis à la lumière de ce qu’il a appelé le jugement « très clair » sur le risque posé par les programmes de surveillance du gouvernement américain.

Dans le même temps, le démantèlement de Safe Harbor a conduit les législateurs européens et américains à se précipiter pour négocier un accord de remplacement sur le transfert de données, car Facebook n’était pas le seul concerné : des milliers d’entreprises étaient affectées par l’incertitude juridique qui pesait sur les exportations de données. En un temps remarquablement court, les deux parties se sont mises d’accord et ont adopté (en juillet 2016) le Bouclier de protection de la vie privée UE-États-Unis, comme l’accord d’adéquation de remplacement a été (un peu malheureusement) baptisé.

Cependant, comme il sied à un travail précipité, le Privacy Shield a été entravé dès le départ par des préoccupations concernant le fait qu’il n’était essentiellement qu’un sparadrap sur un schisme juridique. Comme à son habitude, M. Schrems a proposé une description plus viscérale, la qualifiant de « rouge à lèvres sur un cochon ». Et, pour faire court, la CJUE s’est montrée d’accord, réduisant le bouclier en miettes en juillet 2020, dans une nouvelle décision historique sur le conflit central entre la législation américaine en matière de surveillance et les droits de l’UE en matière de protection de la vie privée.

En réalité, M. Schrems n’avait pas contesté directement le bouclier de protection de la vie privée. Il avait plutôt mis à jour sa plainte en Irlande contre les exportations de données de Facebook pour cibler l’utilisation d’un autre mécanisme de transfert de données, plus ancien, connu sous le nom de contrats contractuels standards (CCS), en demandant à la DPA irlandaise de suspendre l’utilisation des CCS par Facebook.

L’autorité de surveillance irlandaise a une nouvelle fois refusé de le faire. Au lieu de cela, il a opté pour l’équivalent d’un « hold my beer » : Il a choisi d’aller en justice pour contester la légalité (générale) des CSC, car il a déclaré qu’il était maintenant préoccupé par le fait que l’ensemble du mécanisme n’était pas sûr.

La contestation juridique des CSC par la DPA a essentiellement mis en veilleuse la plainte de Schrems contre les flux de données de Facebook, tandis que l’action passait à l’évaluation de l’ensemble du mécanisme de transfert de données. Mais, une fois de plus, ce revirement juridique a fini par faire sauter les portes, puisque la Haute Cour irlandaise s’est ensuite interrogée sur le fait de savoir si le bouclier de protection de la vie privée lui-même était de bonne foi dans une nouvelle saisine de la CJUE (avril 2018). Et, bien, vous devriez connaître la suite : Quelques années plus tard, la réponse des plus hauts juges du bloc a été que cette deuxième demande d’adéquation était déficiente et que le mécanisme était donc désormais également défunt. RIP Privacy Shield. (Un résultat séquentiel connu sous le nom de Schrems II).

Ah mais Facebook utilisait les CSC et non le Privacy Shield pour autoriser ces transferts de données, je vous entends crier ! Le fait est que, bien que la CJUE n’ait pas invalidé les CSC, les juges ont clairement indiqué que lorsqu’ils sont utilisés pour exporter des données vers un pays dit « tiers » (comme les États-Unis), les autorités de protection des données de l’UE ont le devoir de prêter attention à ce qui se passe et, surtout, d’intervenir lorsqu’elles soupçonnent que les données des personnes ne sont pas correctement protégées dans le pays à risque… Le message clair de la CJUE est donc que l’application doit se faire. Si l’on ajoute à cela le fait que la Cour a invalidé le bouclier de protection de la vie privée pour des raisons de sécurité liées aux pratiques de surveillance des États-Unis, il est clair que le pays dans lequel Facebook recueille régulièrement des données est considéré comme dangereux.

Il s’agit d’un problème particulier pour Facebook, car le modèle commercial du géant américain de la publicité repose sur l’accès aux données des utilisateurs, afin qu’il puisse suivre et profiler les internautes pour les cibler avec des publicités comportementales. Le géant de la technologie n’était donc pas en mesure d’appliquer des garanties supplémentaires (telles que le cryptage de bout en bout) qui auraient pu relever le niveau de protection des données des Européens exportées vers les États-Unis.

Le résultat de tout cela est qu’il était désormais impossible pour l’Irlande d’ignorer la question – l’adéquation des données américaines s’étant évaporée et le mécanisme alternatif sur lequel Facebook s’appuyait faisant l’objet d’un examen ordonné par la CJUE – et donc, en peu de temps (septembre 2020), la presse a appris que la DPA irlandaise avait envoyé à la société mère de Facebook, Meta, une ordonnance préliminaire visant à suspendre les flux de données.

Cela a ensuite déclenché une série de nouvelles contestations juridiques, Meta ayant obtenu un sursis sur l’ordonnance et cherché à la contester devant les tribunaux. Mais ces rebondissements juridiques attendus ont été compliqués par une autre décision étrange du régulateur irlandais – qui, cette fois, a choisi d’ouvrir une deuxième (nouvelle) procédure tout en suspendant la première (c’est-à-dire la plainte de longue date de Schrems).

Schrems a crié à l’injustice, soupçonnant de nouvelles tactiques dilatoires, et a obtenu une révision judiciaire des procédures de la DPA – ce qui a conduit, en janvier 2021, à l’accord de la DPA irlandaise pour finaliser rapidement sa plainte.

En mai de la même année, les tribunaux irlandais ont également rejeté la contestation judiciaire de Meta à l’encontre de la DPC, levant ainsi la suspension de sa capacité à poursuivre le processus de prise de décision. L’Irlande n’avait donc plus d’excuses pour ne pas prendre de décision sur la plainte de Schrems. La saga s’est donc replacée dans le cadre de l’application standard du GDPR, le DPC ayant travaillé sur son enquête pendant près d’un an pour parvenir à une décision préliminaire révisée (février 2022) qu’il a ensuite transmise aux autres DPA de l’UE pour examen.

Des objections à son projet de décision ont été dûment soulevées en août 2022. Les autorités de l’UE n’ont ensuite pas réussi à se mettre d’accord entre elles, ce qui signifie que c’est le Comité européen de la protection des données (CEPD) qui a pris une décision contraignante (avril 2023).

Le régulateur irlandais disposait alors d’un délai d’un mois pour produire une décision finale – mettant en œuvre la décision contraignante de l’EDPB. Cela signifie que l’essentiel de ce qui a été décidé aujourd’hui ne peut pas être attribué à Dublin.

Le cadre de protection des données UE-USA comme échappatoire à la méta

Ce n’est pas tout. Comme indiqué plus haut, un autre détail important semble devoir influencer ce qui se passera à court terme en ce qui concerne les flux de données de Meta (et potentiellement conduire à une Schrems III dans les années à venir) : Au cours des dernières années, les législateurs européens et américains ont tenu des discussions visant à trouver un moyen de rétablir l’adéquation des États-Unis à la suite du torpillage du Privacy Shield par la CJUE en répondant, selon eux, aux préoccupations soulevées par les juges.

À l’heure où nous écrivons ces lignes, les travaux visant à mettre en place ce nouvel accord sur le transfert de données sont toujours en cours – l’adoption de l’accord étant prévue pour l’été – mais le chemin à parcourir pour parvenir à ce nouvel accord s’est déjà avéré beaucoup plus difficile que la dernière fois.

L’accord politique sur le cadre UE-États-Unis de protection des données (DPF) susmentionné a été annoncé en mars 2022, suivi, en octobre, par la signature d’un décret par le président américain Joe Biden et, en décembre, par l’annonce par la Commission d’un projet d’accord sur le cadre. Mais, comme indiqué plus haut, le processus d’adoption de l’UE n’est pas encore achevé, de sorte qu’il n’existe pas encore de cadre général de haut niveau auquel le Meta pourrait se référer.

Si/quand le DPF est adopté par l’UE, il y a fort à parier que Meta y adhérera et cherchera à l’utiliser comme nouveau tampon pour ses flux de données entre l’UE et les États-Unis. Il s’agit donc d’un moyen à court terme pour Facebook d’éviter d’avoir à donner suite à l’ordonnance de suspension, quelle que soit l’issue de son recours en justice. (Et, en effet, le billet de blog de l’entreprise aujourd’hui souligne ses attentes pour un fonctionnement sans heurts dans le nouveau cadre, avec Meta writing: « Nous sommes heureux que le CPD ait également confirmé dans sa décision qu’il n’y aura pas de suspension des transferts ou d’autres actions exigées de Meta, telles que l’obligation de supprimer les données des personnes concernées de l’UE une fois que le conflit de lois sous-jacent aura été résolu. Cela signifie que si le RGPD entre en vigueur avant l’expiration des délais de mise en œuvre, nos services pourront continuer à fonctionner comme aujourd’hui, sans interruption ni impact sur les utilisateurs »).

Mais il est presque certain que la légalité du DPF sera contestée (si ce n’est par Schrems lui-même, de nombreux groupes de défense des droits numériques pourraient vouloir intervenir). Et, si cela se produit, il est certainement possible que la CJUE constate, une fois de plus, un manque de garanties nécessaires – étant donné que nous n’avons pas vu de réformes substantielles de la loi américaine sur la surveillance depuis leur dernière visite, alors que diverses préoccupations ont été soulevées par les experts de la protection des données au sujet de la proposition remaniée.

La Commission affirme que les deux parties ont travaillé dur pour répondre aux préoccupations de la CJUE – en soulignant, par exemple, l’inclusion d’une nouvelle formulation qui, selon elle, limitera l’activité des agences de surveillance américaines (à ce qui relève de la « nécessité et de la proportionnalité »), ainsi que la promesse d’un contrôle renforcé et, pour les recours individuels, d’une « Cour d’examen de la protection des données ».

En revanche, les experts en protection des données se demandent si les espions américains travailleront vraiment selon la même définition de la nécessité et de la proportionnalité que le droit européen, d’autant plus qu’une certaine collecte en vrac reste possible dans le cadre de l’accord. Ils estiment également qu’il reste difficile pour les individus d’obtenir réparation, étant donné que les décisions de l’organe qui est présenté comme un tribunal seront secrètes (et qu’il n’est pas non plus aussi strictement indépendant de l’influence politique qu’une véritable cour de justice, suggèrent-ils).

Et, comme nous l’avons rapporté, Schrems lui-même reste sceptique. « Nous ne pensons pas que le cadre actuel va fonctionner », a-t-il déclaré aux journalistes lors d’une récente réunion d’information à l’occasion du cinquième anniversaire de l’entrée en vigueur du GDPR. Nous pensons que cette question sera renvoyée devant la Cour de justice et qu’il s’agira d’un autre élément qui génèrera beaucoup de tensions entre les différentes couches ». [of enforcement]. » Il a également suggéré qu’une comparaison entre le décret signé par M. Biden pour le nouvel arrangement et la directive présidentielle antérieure, du président Obama, qui a été examinée par la Cour de justice lorsqu’elle a examiné la légalité du Privacy Shield, ne montre pas beaucoup de changement, suggérant qu’ils sont « pratiquement identiques ».

« Il y a quelques nouveaux éléments dans le nouvel ordre technique, ainsi que quelques améliorations. Mais la plupart des éléments présentés comme nouveaux dans les communiqués de presse et les débats publics ne sont en fait pas nouveaux. Ils existaient déjà auparavant », a-t-il également affirmé. « Souvent, nous ne comprenons pas vraiment en quoi cela devrait changer, mais nous retournerons devant les tribunaux l’année ou les deux années suivantes, et nous irons probablement jusqu’à la Cour de justice et nous aurons une troisième décision qui nous dira soit que tout n’est pas parfait et merveilleux et que nous pouvons aller de l’avant, soit que nous allons rester coincés là-dedans plus longtemps ».

Ainsi, bien que – si vous écoutez la musique d’ambiance de haut niveau – le cadre contienne des révisions substantielles pour réparer le schisme juridique. Mais nous ne saurons vraiment si c’est vrai que lorsque la CJUE interviendra à nouveau dans quelques années.

Cela signifie qu’il est tout à fait possible que le principe d’adéquation entre l’UE et les États-Unis soit à nouveau remis en question dans un avenir pas si lointain. Et cela relancerait le problème du transfert de données de Facebook – grâce à la réalité intrusive des pratiques de surveillance américaines et à la licence générale accordée aux questions de sécurité nationale de l’autre côté de l’Atlantique, qui foulent aux pieds les concepts étrangers (européens) de protection de la vie privée et des données.

L’exigence d’adéquation de l’UE à l’équivalence essentielle du régime de protection des données de l’Union représente une étape difficile où une caresse ne pourra pas rester éternellement. (Et la perspective que Donald Trump soit à nouveau élu président des États-Unis, en 2024, ajoute une précarité supplémentaire aux calculs de survie du DPF). Mais c’est une histoire pour les mois et les années à venir.

Le « goulot d’étranglement » de l’application du GDPR en Irlande

Pour en revenir à la bataille de Schrems, qui a duré près de dix ans, pour obtenir une décision sur sa plainte, il est difficile de faire mieux comme étude de cas sur les retards dans l’application de la protection des données. En effet, il pourrait s’agir d’un record en ce qui concerne la durée d’attente d’un individu (du moins si l’on ne tient pas compte de toutes les plaintes pour lesquelles aucune mesure n’a été prise par l’autorité de régulation).

Mais il est important de souligner que le bilan du DPC irlandais en matière d’application du GDPR fait l’objet d’une attaque plus générale que la fronde et les flèches qu’il a reçues à la suite de cette saga particulièrement tortueuse sur les flux de données. (Même Schrems semble vouloir en voir le bout à ce stade).

Analyse des cinq années d’application du GDPR, publiée au début du mois par le Conseil irlandais pour les libertés civiles (ICCL), qualifie la situation en matière d’application de la loi de « crise » et met en garde : « L’incapacité de l’Europe à faire appliquer le GDPR expose tout le monde à un risque aigu à l’ère numérique et désigne la DPA irlandaise comme l’une des principales causes de l’échec de l’application du GDPR contre les Big Tech ».

Et l’ICCL pointe le doigt sur la DPC irlandaise.

« L’Irlande continue d’être le goulot d’étranglement de l’application de la législation : Elle rend peu de projets de décision sur les grandes affaires transfrontalières, et lorsqu’elle le fait, les autres autorités européennes chargées de l’application des lois votent régulièrement à la majorité pour l’obliger à prendre des mesures d’application plus sévères », affirme le rapport – avant de souligner que : « Fait unique, 75 % des décisions d’enquête de l’Irlande sur le GDPR dans des cas majeurs de l’UE ont été annulées par un vote majoritaire de ses homologues européens à l’EDPB, qui exigent des mesures d’application plus strictes. »

L’ICCL souligne également que la quasi-totalité (87 %) des plaintes transfrontalières relatives au GDPR adressées à l’Irlande impliquent de manière répétée la même poignée d’entreprises Big Tech : Google, Meta (Facebook, Instagram, WhatsApp), Apple, TikTok et Microsoft. Mais il est dit que de nombreuses plaintes contre ces géants de la technologie ne font même pas l’objet d’une enquête complète – privant ainsi les plaignants de la possibilité d’exercer leurs droits.

L’analyse souligne que le ILe CPD irlandais choisit la « résolution à l’amiable » pour conclure la grande majorité (83%) des plaintes transfrontalières qu’il reçoit (citant les propres statistiques de l’organe de contrôle) – notant en outre : « Le recours à la résolution à l’amiable pour les récidivistes ou pour les questions susceptibles d’avoir un impact sur de nombreuses personnes est contraire aux lignes directrices du Conseil européen de la protection des données.

Le DPC a été contacté pour répondre à l’analyse mais s’est refusé à tout commentaire.

L’ICCL a demandé à la Commission d’intervenir et de s’attaquer à la crise de l’application du GDPR, en avertissant : « La prochaine proposition de la Commission visant à améliorer la coopération entre les autorités chargées de la protection des données peut être utile, mais il faut aller beaucoup plus loin pour résoudre la question de l’application du GDPR. La responsabilité ultime de cette crise incombe au commissaire européen à la justice, Didier Reynders. Nous lui demandons instamment de prendre des mesures sérieuses. »

La décision finale d’aujourd’hui sur les flux de données de Facebook en dehors de l’Irlande, après presque une décennie de tergiversations procédurales – qui, ne l’oublions pas, ont coûté la vie non pas à un mais à deux accords de haut niveau entre l’UE et les États-Unis sur les données jusqu’à présent – ne fera rien pour calmer les critiques sur l’Irlande en tant que goulot d’étranglement pour l’application du GDPR (indépendamment des fuites utiles dans la presse la semaine dernière avant la décision d’aujourd’hui sur les flux de données de Facebook (et en effet aujourd’hui !), cherchant à de donner une image positive de l’autorité de régulation en parlant d’une amende « record ». mais sans mentionner le rôle de l’EDPB dans l’exécution de l’amende).

En effet, l’héritage durable de la saga des flux de données de Facebook, et d’autres sous-applications laborieusement extraites du CPD contre les abus systématiques de Big Tech en matière de protection de la vie privée, est déjà inscrit dans le rôle de surveillance centralisée de Big Tech que la Commission a pris sur elle-même pour la Loi sur les services numériques et la Loi sur les marchés numériques – un développement qui reconnaît l’importance de la réglementation du pouvoir des plateformes pour assurer l’avenir du projet européen.

Crédits d’image : Rapport de l’ICCL : « 5 years : GDPR’s crisis point : ICCL report on EEA data protection authorities » (Le point de crise du GDPR : rapport de l’ICCL sur les autorités de protection des données de l’EEE)

Cela étant dit, l’autorité irlandaise de protection des données ne peut manifestement pas porter le fardeau de la myriade de problèmes d’application liés au GDPR.

En réalité, une mosaïque de problèmes entrave l’application effective du règlement dans l’ensemble de l’Union, comme on peut s’y attendre avec une structure de contrôle décentralisée qui tient compte des différences linguistiques et culturelles entre les 27 États membres et des opinions divergentes sur la meilleure façon d’aborder le contrôle de concepts importants (et très personnels) tels que la protection de la vie privée, qui peuvent avoir des significations très différentes selon les personnes.

L’association à but non lucratif de Schrems, noyb, a rassemblé des informations sur le droit à la vie privée. des informations sur ce patchwork de questions relatives à l’application du GDPR. – qui comprennent des éléments tels que le manque de ressources des petites agences et un manque général d’expertise interne pour traiter les questions numériques ; des problèmes de transparence et des trous noirs d’information pour les plaignants ; des problèmes de coopération et des barrières juridiques empêchant les plaintes transfrontalières ; et toutes sortes d’interprétations « créatives » du « traitement » des plaintes – ce qui signifie que rien n’est fait à propos d’une plainte reste un résultat courant – pour ne citer que quelques-uns des problèmes qu’elle a rencontrés.

« La réalité est que nous devons dire aux gens que, dans de nombreux cas, ils ont le droit de se plaindre, mais qu’il y a de fortes chances que cela ne les aide pas et ne règle pas leur problème. C’est un problème fondamental si nous disons que nous avons un droit fondamental à la vie privée, et qu’il y a toutes ces autorités dans lesquelles nous injectons des millions d’euros. Et la réponse que nous devons donner aux gens est de leur dire qu’ils peuvent essayer, mais qu’il est très probable que cela ne les aidera pas – et c’est ma plus grande inquiétude après cinq ans d’application du GDPR : malheureusement, c’est toujours la réponse que nous devons donner aux gens », a déclaré M. Schrems.

Dans le même temps, l’Irlande joue un rôle majeur dans l’application du GDPR aux Big Tech – qui ont à leur tour un impact majeur sur les droits des internautes – ce qui signifie que les décisions qu’elle rédige et façonne (ou, en fait, qu’elle choisit de ne pas prendre) ont un impact sur des centaines de millions de consommateurs européens. Le niveau d’examen de Dublin est donc tout à fait justifié.