Meta, dans son rapport annuel à la Securities and exchange commission (SEC), le gendarme de la bourse américain, menace de suspendre ses services Facebook et Instagram de l’Union européenne. Dans ce texte publié le 3 février et repéré par City A.M., le groupe reproche au Vieux Continent sa réglementation trop stricte sur les transferts de données vers les États-Unis.

Meta dans une position inconfortable depuis la fin du Privacy Shield

Dans le rapport remis à la SEC, Meta affirme « Si nous ne sommes pas en mesure de transférer des données entre et parmi les pays et régions dans lesquels nous opérons, ou si nous sommes limités dans le partage de données entre nos produits et services, cela pourrait affecter notre capacité à fournir nos services, la manière dont nous fournissons nos services ou notre capacité à cibler les publicités, ce qui pourrait avoir un impact négatif sur nos résultats financiers ».

Meta reproche principalement à l’UE la décision de la Cour de Justice de l’UE (CJUE), l’arrêt Schrems II, d’annuler l’accord Privacy Shield. Ce dernier encadrait le transfert de données de l’UE vers les États-Unis. Selon le Règlement général sur la protection des données (RGPD), il ne peut pas y avoir de transfert de données vers un pays avec un niveau de protection inférieur à celui existant en Europe. À moins que des assurances spécifiques soient prises par la société.

Le Privacy Shield allégeait ces obligations, ce que la CJUE a considéré comme non conforme au RGPD. Meta, qui stocke, transfert et traite les données européennes sur des serveurs aux États-Unis, n’a pas franchement apprécié cette décision.

Dans le texte remis au SEC l’entreprise fustige l’instabilité des textes encadrant les transferts de données internationales renforcés par l’interprétation « hasardeuse » de lois, en Europe, dans le monde et aux États-Unis, encore « relativement nouvelles ». Dès le mois de décembre 2021, Politico avait révélé des notes internes de Meta, où le non-respect de la décision de la justice européenne était assumé. L’entreprise estime que le régime de protection des données aux États-Unis est suffisant.

Jusqu’à présent et en attendant la négociation d’un nouvel accord, réclamé par Meta, Google et d’autres entreprises du numérique, Facebook disposait d’une porte de sortie temporaire : les « clauses contractuelles types » (CCT).

Seulement voilà, la Data Protection Commission (DPC), la CNIL Irlandaise dont dépend Meta, a jugé dans une décision préliminaire en 2020 les CCT de Meta contraires, à leur tour, au RGPD. Le géant américain explique s’attendre à une décision définitive très prochainement, « au premier semestre 2022 ».

Un simple coup de pression ou une menace sérieuse ?

Le temps presse pour Meta, par ailleurs en mauvaise posture avec la perte d’utilisateurs sur Facebook pour la première fois de son histoire. L’entreprise de Mark Zuckerberg a donc décidé de sortir l’artillerie lourde en laissant planer la possibilité d’une disparition de Facebook et Instagram en Europe.

Une posture qui ne sera pas nécessairement appliquée tant Meta risquerait d’en pâtir. Le message adressé à l’Europe et aux États-Unis n’en est pas moins fort, alors que les négociations d’un successeur au Privacy Shield traînent en longueur. Sûrement pour éviter qu’il soit de nouveau cassé par la CJUE, à l’image de ses deux prédécesseurs.

Un porte-parole de Meta a contacté Siècle Digital pour préciser que l'entreprise ne menace pas de quitter l'Europe et déclarer :

« Nous n'avons absolument aucun désir ni aucun projet de nous retirer de l'Europe, mais la simple réalité est que Meta, et beaucoup d'autres entreprises, organisations et services, s'appuient sur des transferts de données entre l'UE et les États-Unis afin d'exploiter des services mondiaux. Comme d'autres entreprises, nous avons suivi les règles européennes et nous nous appuyons sur des clauses contractuelles types, ainsi que sur des mesures de protection des données appropriées, pour exploiter un service mondial. Fondamentalement, les entreprises ont besoin de règles mondiales claires pour protéger les flux de données transatlantiques à long terme, et comme plus de 70 autres entreprises dans un large éventail d'industries, nous surveillons de près l'impact potentiel sur nos opérations européennes à mesure que ces développements progressent. »

EDIT 07/02/2022 19h35 : ajout de la réaction de Meta.