Rarement la publication d’un document financier n’a fait autant de bruit. Dans un rapport annuel de type « 10-K », qui est censé donner des informations de performances et de risques aux investisseurs en bourse américains, le groupe Meta signale qu’il sera peut-être contraint d’arrêter de proposer en Europe certains de ses principaux services, comme Facebook ou Instagram. Mazette, ça, c’est du lourd.
La raison invoquée est la réglementation RGPD, qui interdit les transferts de données personnelles d’utilisateurs européens vers un pays tiers, à moins que le niveau de protection des données dans le pays destinataire soit équivalent à celui de l’Union européenne. Le souci, c’est que le niveau de protection garanti par les États-Unis a été régulièrement mis à mal, en raison des lois de surveillance américaines. Les dispositifs Safe Harbor et Privacy Shield, qui permettaient un transfert sans limites entre l’Europe et les États-Unis, ont été invalidés respectivement en 2015 et 2020 pour ces raisons.
A découvrir aussi en vidéo :
Depuis, les entreprises high-tech qui souhaitent transférer des données personnelles à travers l’Atlantique sont contraintes de mettre en place des « clauses contractuelles types » (CCT). Il s’agit là de contrats de transfert qui sont conclus entre un exportateur et un importateur de données et qui garantissent le maintien du niveau de protection entre les deux.
Mais les CCT ne font pas de miracle. Elles ne peuvent pas résoudre le problème de fond, à savoir les lois américaines de surveillance. Il n’est donc pas étonnant que la CNIL irlandaise, qui est en train d’évaluer les clauses mises en place par le groupe Meta, a d’ores et déjà signalé qu’elles n’étaient pas conformes au RGPD. Une décision définitive est attendue pour le premier semestre 2022. Elle va très probablement invalider les transferts de données.
Le retrait est peu probable
Ce qui est étonnant, en revanche, c’est la perspective future que donne l’entreprise de Mark Zuckerberg à la page 36 de son rapport 10-K. En cas d’impossibilité de transfert, elle envisage de se retirer tout bonnement du marché européen, et donc de tirer un trait sur une grosse partie de ses revenues. C’est d’autant moins crédible qu’il existe une solution technique évidente : réaliser le traitement des données européennes en Europe. Certes, cela suppose de créer des datacenters sur le Vieux Continent et de dupliquer certains processus informatiques. Mais ce sera sans doute plus rentable que de jeter le bébé avec l’eau du bain.
Cette possibilité de retrait est tellement étrange que la plupart des médias ont interprété ce message perdu au milieu d’un rapport financier comme une menace. Si tel était vraiment le cas, ce serait une raison de plus de rester ferme sur le sujet. Et alors tant pis pour Facebook et Instagram. Ce sera l’occasion de découvrir d’autres services.
Mais rassurez-vous, nous sommes encore loin d’une telle extrémité. Interrogé par BFMTV, Meta vient de tempérer le débat.
« Nous n’avons absolument aucune volonté ni de projet de retrait d’Europe, mais la simple réalité est que Meta, comme beaucoup d’autres entreprises, organisations et services, dépendent du transfert de données entre l’UE et les Etats-Unis pour opérer au niveau mondial. Comme d’autres entreprises, nous avons suivi les règles européennes et nous nous reposons sur les clauses contractuelles types, ainsi que les garanties sur les données, pour fournir notre service. […] Nous surveillons de près les effets potentiels (des changements légaux et de jurisprudence, ndlr) sur nos opérations européennes au fur et à mesure de ces évolutions », a précisé un porte-parole.
Source: Rapport 10-K