Dans une décision préliminaire de 2020, la Data Protection Commission (DTC), la CNIL irlandaise, a estimé que les transferts de données personnelles de citoyens européens vers les États-Unis par Meta contrevenaient au RGPD. La décision définitive, initialement attendue pour le premier semestre 2022, est bloquée par des objections d’autres CNIL européennes, selon une information communiquée le 10 août par le porte-parole de la DTC, et rapportée par Politico.

Facebook et Instagram auraient pu être retirés de l’UE cet été

Meta a prévenu : si la décision de la DTC est validée, Facebook et Instagram fermeront sur le continent européen. Une menace, terme récusé par le géant américain, explicitement mentionnée dans un rapport remis au gendarme de la bourse américaine en début d’année. Il s’en est fallu de peu pour que ce cas de figure se présente dès cet été.

Début juillet, la DTC a informé ses homologues européens qu’elle comptait bien empêcher Meta de transférer des données sensibles des européens vers les États-Unis. Depuis la fin du Privacy Shield, cassé par la Cour de Justice de l’Union européenne en 2020, ces flux sont encadrés par le mécanisme des « clauses contractuelles types » (CCT).

C’est sur ces CCT que porte la décision de la DTC. Elle veut empêcher Meta de les utiliser et donc d’être autorisé à réaliser ses transferts. Une décision motivée par les lois américaines autorisant la surveillance desdites données sur son territoire. C’est une motivation identique qui a entraîné l’invalidation du Privacy Shield.

Meta a senti le vent du boulet, mais a été sauvé par les procédures de Bruxelles. Conformément aux règles en vigueur, la DTC a soumis son projet aux CNIL européennes. Certaines ont soulevé des objections. Ces dernières vont devoir être examinées et font gagner à Meta quelques mois de sursis. Politico rappelle qu’une révision précédente a pris environ quatre mois.

Si les 27 CNIL ne parviennent pas à se mettre d’accord, ce sera au Conseil européen de la protection des données de trancher. Entraînant de nouvelles procédures et un nouveau délai d’un mois. Meta a par ailleurs la possibilité de faire appel de la décision finale.

Meta mise sur le futur accord de transfert de donnée, en cours de négociation

La bureaucratie européenne, souvent critiquée, peut aussi se révéler bien pratique dans des cas aussi épineux. L’Union européenne et les États-Unis négocient en ce moment même un nouvel arrangement, un successeur au Privacy Shield, pour encadrer les transferts de données transatlantiques.

Ce cadre est réclamé avec vigueur par Meta, mais aussi Google et des entreprises américaines comme européennes. Ursula von der Leyen, présidente de la Commission européenne et Joe Biden ont annoncé en mars qu’un accord de principe avait été trouvé. Le texte final est espéré au premier semestre 2023.

Le délai de la procédure des CNIL européennes pourrait permettre à Meta de ne rien changer à sa façon de gérer les données européennes, s’il dure jusqu’à l’adoption de ce texte.