Transfert de données entre les Etats-Unis et l’UE : Le Bras de fer entre Facebook et la CNIL irlandaise

[Mise à jour 16/09/2020]

La Haute Cour d’Irlande a ce Lundi 15 Septembre temporairement gelée l’enquête de la CNIL irlandaise, autorisant Facebook à procéder à un contrôle judiciaire de la décision préliminaire de l’autorité de régulation.

L’homologue irlandaise de la CNIL ordonne à Facebook de stopper les transferts de données vers les USA

Les premières conséquences sur l’invalidation de l’accord de transfert transatlantique du Privacy Shield rendue par une décision de la CJUE du 16 juillet 2020 ne se sont pas fait attendre. En effet, comme le rapporte, le Wall Street Journal dans un article publié le 9 septembre, la CNIL irlandaise, Data Protection Commission, a rendu une ordonnance préliminaire contre Facebook fin août.

L’objet : L’autorité irlandaise interdit à Facebook de se prévaloir des clauses contractuelles types afin d’envoyer des données outre-Atlantique. Ainsi, il n’est plus possible pour le géant américain d’envoyer les données des utilisateurs européens vers les serveurs situés aux États-Unis.

Pourquoi : Alors que ces clauses contractuelles types n’ont pas été invalidées par les juges européens, il revenait à chaque autorité nationale d’en apprécier le recours. L’arrêt Schrems II a invalidé le Bouclier de protection des données pour défaut de garanties juridiques offertes par les États-Unis concernant leurs programmes de surveillance (retrouvez notre article ici). L’utilisation des clauses contractuelles types pour transférer les données européennes outre-Atlantique est subordonnée au respect par la législation étasunienne d’un niveau de protection adéquat au droit européen. Or, ce niveau de protection n’étant pas atteint du côté américain, l’usage par Facebook des clauses contractuelles pour le transfert de données transatlantique n’est pas possible.

Conséquences : Facebook doit choisir entre :

- Cesser tout transfert vers les États-Unis en utilisant des serveurs hébergés dans un pays adéquat pour traiter les données des utilisateurs européens ;

- Arrêter tout traitement des données et donc fermer ses services aux utilisateurs européens.

Résistance du Géant américain

Du côté de Facebook, la réaction ne s’est pas fait attendre, car ce dernier a fait appel devant la Haute Cour irlandaise afin de contester l’ordonnance. En effet, alors que l’entreprise dit avoir travaillé durement afin de se conformer à la décision de la CJUE, selon le porte-parole de la société, Nick Clegg déclare que « L'absence d'un mécanisme de transfert de données international, sûr, sécurisé et légal aurait des conséquences néfastes pour l’économie européenne ». La position du 1er réseau social est claire, tant qu’aucune précision n’aura été apportée, elle continuera de transférer les données du Vieux Continent vers ses serveurs américains conformément à la décision des juges européens.

Le refus du géant américain envers la demande du gendarme irlandais est risqué car l’entreprise s’expose à une amende pouvant aller jusqu’à 20 millions d’euros ou bien 4% de son chiffre d’affaires mondial (Article 83 du RGPD). Pour rappel, selon son rapport annuel 2019, Facebook totalise un chiffre d’affaires confortable de 18,5 milliards de dollars [article source https://www.nextinpact.com/lebrief/41302/11058-facebook---pres-de-70-milliards-de-dollars-de-chiffre-d-affaires--2-89-milliards-d-utilisateurs-par-mois] .  

La CNIL irlandaise mettra-t-elle ses menaces à exécution ?

Dans ce cas, face au montant encouru de l’amende, est-ce que Mark Zuckerberg se pliera aux exigences de la Commission ou bien préférera-t-il payer l’amende et tenter le bras de fer ?

Les conséquences de l’invalidation du Privacy Shield

Cette affaire illustre parfaitement l’incertitude juridique de la décision rendue par la CJUE en invalidant le Privacy Shield. Pour Facebook, une décision claire doit être prise, « les entreprises ont besoin de règles claires et précises, étayées par un solide État de droit, pour protéger à long terme les flux de données transatlantiques » [article source https://www.lesnumeriques.com/vie-du-net/privacy-shield-facebook-somme-de-garder-les-donnees-des-utilisateurs-europeens-loin-des-etats-unis-n154327.html].

C’est pourquoi une initiative a déjà été prise par certains acteurs du cloud (Google, IBM, Cisco,..) dans le but de créer des standards internationaux afin d’encadrer le transfert des données personnelles hors UE.

Il est certain que l’arrêt du 16 Juillet 2020 a remis totalement en cause le fonctionnement des GAFAM et plus largement de tous les services en ligne qui constituent notre écosystème numérique, et cela « pourrait avoir un effet très significatif sur les entreprises qui en dépendent et sur les services en ligne dont dépendent de nombreuses personnes et entreprises », selon Nick Glenn.

Alors que certains pointent la décision et les lourdes conséquences que cela pourrait avoir sur l’économie européenne, d’autres plaident pour une souveraineté européenne et voient une opportunité pour le développement des entreprises de la tech européennes ainsi qu’une réforme du droit américain.

La révision du Privacy Shield ainsi que l’enquête de la CNIL irlandaise devraient nous apporter plus de réponse sur l’avenir du transfert des données personnelles.