La transmission des données personnelles des utilisateurs européens de Facebook aux serveurs américains doit cesser. La Commission irlandaise de la protection de la vie privée a lancé une enquête spécifique et a envoyé une ordonnance préliminaire au réseau social, dont le siège européen est à Dublin, pour suspendre les transferts de données vers les États-Unis. L’autorité irlandaise n’est pas comme les autres : son rôle par rapport aux règles contenues dans le règlement général européen sur la protection des données personnelles et autres décisions dans ce domaine est stratégique, précisément parce qu’en Irlande, la majorité des géants de la haute technologie, de Google à Twitter en passant par Facebook, ont établi leur siège social afin de profiter d’avantages fiscaux.
La décision est donc lourde : selon le Wall Street Journal, afin de respecter l’ordonnance préliminaire irlandaise, Menlo Park devrait revoir son service et son architecture de serveurs internationaux et de fermes de données afin de conserver les données et informations collectées par les utilisateurs de l’UE sur le territoire européen (non seulement pour Facebook mais aussi pour Instagram, WhatsApp et les autres produits du géant californien). L’alternative serait de suspendre le service, ce qui est évidemment peu pratique.
Il y a un pas en arrière. Parce que la demande de l’autorité irlandaise n’est que la conséquence d’un arrêt de la Cour de justice européenne du 16 juillet dernier dans l’affaire C-311/18. Cette décision, a rappelé également Nick Clegg, ancien vice-premier ministre britannique devenu vice-président pour les affaires mondiales et la communication sur Facebook, a invalidé le “bouclier de la vie privée” approuvé en 2016 après le rejet d’un instrument similaire. Il s’agit en effet d’une réglementation légale sur le transfert de données personnelles de l’Europe vers les États-Unis, qui a toujours fait l’objet de nombreuses discussions, mais il est essentiel de permettre aux géants de faire des affaires avec les données, véritable carburant de l’économie technologique contemporaine, même sur le Vieux Continent. Selon la Cour, qui, à vrai dire, n’a jamais accueilli favorablement l’accord et a rejeté les précédents “Principes internationaux de la sphère de sécurité” en 2015, elle n’a pas suffisamment garanti la sécurité de ces informations contre les intrusions des autorités et des services de renseignement américains. Dans le même temps, cependant, l’arrêt a maintenu en vigueur un autre instrument plus générique, celui des “clauses contractuelles types pour les transferts de données entre pays de l’UE et pays tiers” : un cadre plus général et non spécifique pour les États-Unis sur la base duquel les activités se sont poursuivies.
L’autorité irlandaise n’est pas d’accord avec cette position : à son avis, le bouclier de la vie privée n’est plus valable, le transfert de données doit cesser et les informations doivent rester stockées dans des fermes de données européennes. Cependant, la route sera longue : Facebook a un mois pour répondre, le Garant a jusqu’à la fin de l’année pour prendre une décision à laquelle les médias sociaux pourront s’opposer. Mais les dés sont jetés : soit nous arriverons bientôt à un nouveau bouclier de protection de la vie privée, renforcé dans les garanties, sur lequel des pourparlers entre la Commission européenne et le ministère américain du commerce sont déjà en cours, soit un nouveau bras de fer sera ouvert. Le problème est que, selon de nombreux experts, ce nouveau “bouclier” ne pourrait se présenter qu’à la suite de modifications substantielles des lois de surveillance américaines, qui ne sont pas exactement à l’ordre du jour au Capitole.
Les conséquences d’une impasse ou pire d’un blocus seraient énormes, principalement économiques : “L’absence d’un moyen sûr et légal de transférer des données à l’échelle internationale porterait préjudice à l’économie et entraverait la croissance des activités basées sur les données dans l’Union européenne, tout comme nous essayons de sortir de Covid-19”, écrit Clegg, “l’impact se ferait sentir sur les petites et grandes activités dans de nombreux domaines. Avant le jugement, plus de 5 000 entreprises traitaient et transféraient des données des Européens vers les États-Unis sur la base de ce bouclier de protection de la vie privée. Que pourrait-il arriver ? Par exemple, explique le vice-président, “dans le pire des cas, une petite start-up allemande ne pourrait plus utiliser les services de cloud computing basés aux États-Unis. Une société de développement de produits en Espagne ne pourrait pas opérer sur plusieurs marchés. Une plate-forme française ne pourrait plus maintenir un centre d’appel au Maroc” (Clegg parle de la nullité des “clauses contractuelles types” qui, précisément, ne concernent pas seulement les États-Unis mais tous les pays hors Europe). Et ce n’est pas tout. “Les effets pourraient toucher d’autres secteurs comme la santé et l’éducation : les écoles, les universités et les hôpitaux de toute l’Europe utilisent des services en nuage ou des plates-formes de courrier électronique basées aux États-Unis” et, selon le punk Clegg, la même application anti-Covid du gouvernement irlandais a besoin d’un partenaire à l’étranger. Sans parler des services de vidéoconférence tels que Zoom, Messenger ou Skype, sur lesquels nous comptons de plus en plus en période d’éloignement, et malgré la reprise progressive des activités basées sur la présence.
D’où la demande de M. Clegg aux autorités européennes et aux garants individuels de la protection de la vie privée : “Alors que les responsables politiques travaillent sur une solution durable à long terme, nous avons besoin que les gouvernements adoptent des approches proportionnées et pragmatiques pour minimiser les conséquences pour les milliers d’entreprises comme Facebook qui ont tiré parti de ces mécanismes de bonne foi pour transférer des données en toute sécurité. Le groupe de Mark Zuckerberg parviendra-t-il à convaincre le garant irlandais ?
