La Commission irlandaise de protection des données (DPC), compétente pour les affaires impliquant l’application du RGPD pour Meta, laisse entrevoir le dénouement d’une affaire lancée en 2020. Avec la fin du Privacy Shield, l’accord encadrant le transfert de données entre les États-Unis et l’Union européenne, Meta est accusé d’être dans l’illégalité en perpétuant cette pratique.

Meta réclame à cor et à cri un nouveau Privacy Shield

Le commissaire adjoint de la DPC, Graham Doyle, a déclaré à TechCrunch que « Meta a 28 jours pour faire des soumissions sur cette décision préliminaire, après quoi nous préparerons un projet de décision au titre de l’article 60 pour les autres autorités de surveillance concernées ».

En clair, le groupe de Mark Zuckerberg a 28 jours pour faire valoir ses positions sur l’ordonnance de la DPC. Ensuite la décision de la DPC sera transmise aux autres CNIL européenne intéressés par le sujet. Ces dernières auront un mois pour formuler des objections, des désaccords avec le projet de la DPC, il s’agit de l’article 60.

Le contenu de la décision préliminaire n’a pas été dévoilé, mais il y a très peu de chance qu’elle convienne à Meta. L’entreprise américaine a tenté de faire annuler la procédure en justice, en Irlande, en 2021, sans y parvenir.

Le géant des réseaux sociaux se plaint régulièrement de l’absence de cadre pour le transfert de données depuis la fin du Privacy Shield, allant jusqu’à déclarer le 3 février qu’elle pourrait retirer Instagram et Facebook du continent.

Contacté par TechCrunch pour réagir à la décision préliminaire de la DPC, Meta a tenu un discours désormais classique, « La suspension des transferts de données serait préjudiciable non seulement aux millions de personnes, d’organisations caritatives et d’entreprises de l’UE qui utilisent nos services, mais aussi à des milliers d’autres entreprises qui comptent sur les transferts de données UE-États-Unis pour fournir un service mondial ».

La solution idéale pour Meta, mais aussi Google et d’autres entreprises européennes et américaines, serait de voir aboutir un successeur au Privacy Shield, cassé par la Cour de Justice de l’Union européenne en 2020. Toutefois les négociations en cours s’avèrent complexes. Les États-Unis ne veulent pas abandonner le Cloud Act, le texte permettant au pays de surveiller les données présente sur son territoire, se mettant en contradiction avec le RGPD européen.

En attendant un très hypothétique accord, la position légale de Meta, qui continue à envoyer des données européennes aux États-Unis est très fragile. Le risque de sanction de la DPC est très sérieux.

La DPC attendue au tournant

De son côté, la CNIL irlandaise est sous pression : elle est régulièrement accusée d’être trop tendre avec les GAFAM, de ne pas faire son travail. Ses conclusions et sa vitesse d’exécution seront donc scrutées.

D’autant que Marx Shrems, à l’origine de la plainte initiale contre Meta, a obtenu en de la DPC en janvier 2021 un traitement rapide de l’affaire. Il l’a également accusée de corruption en novembre 2021, toujours en lien avec la présente procédure.

La décision tant attendue pourrait bel et bien arriver d’ici la fin 2022. Si les CNIL européennes, normalement consultées en avril selon Graham Doyle, ne voient d’objections majeures à la position de la DPC l’affaire aboutira. Autrement le Comité européen de la protection des données fera office d’arbitre, ce qui devrait aboutir avant 2023. Meta devrait donc être fixée cette année sur une sanction potentiellement lourde.