Meta va devoir payer une amende de 1,2 milliard d’euros, selon une décision de la Cnil irlandaise. En cause : l’entreprise a continué à transférer les données d’utilisateurs européens vers les États-Unis, alors qu’elle n’en avait plus le droit. Retour sur cette décision aux conséquences incertaines pour le groupe de Mark Zuckerberg.
Le lundi 22 mai restera marqué comme une journée noire pour Meta, le groupe cofondé par Mark Zuckerberg. En fin de matinée, après des mois à avoir cette épée de Damoclès au-dessus de la tête, la sentence est finalement tombée : la maison-mère de Facebook, WhatsApp et Instagram a été condamnée par l’agence de protection des données irlandaise (DPC) à 1,2 milliard d’euros d’amende, l’amende la plus salée jamais édicté une autorité européenne, pour avoir « continué de transférer des données personnelles » d’utilisateurs de l’Europe vers les États-Unis alors qu’elle n’était plus autorisée à le faire. Pire : le compte à rebours a commencé : Meta n’a plus que cinq mois pour se conformer au droit européen. Et six pour régler l’amende à six chiffres. Si la société de Menlo Park ne fait rien d’ici là, en théorie, ces app devront quitter le Vieux continent.
Au sein du groupe, la nouvelle a été accueillie par une soupe à la grimace. Voilà déjà des mois que Mark Zuckerberg écrème les effectifs et coupe les budgets. Pas question de renoncer à la manne financière que représentent les données des Européens, au cœur de son modèle économique. Cette décision de la CNIL irlandaise, en charge de faire respecter le RGPD au nom de l’UE pour tous les géants ayant leur siège européen sur son sol, est-elle une surprise ? Pas vraiment. On s’attendait à ce qu’elle tombe depuis des mois. Ça y est, c’est arrivé, a peut-être dit la personne qui a prévenu Mark Zuckerberg de la nouvelle. De toute façon, on fera appel, a sûrement ajouté cette personne, précisant peut-être le montant de la « remontrance » : 1,2 milliard d’euros.
Une condamnation attendue
Au sein du groupe, la somme a peut-être étonné. Après tout, des ONG avaient justement taclé que la Cnil irlandaise était trop molle, trop conciliante face aux géants numériques qu’elle était censée mettre au pas. Cette dernière explique agir contrainte et forcée, après une décision du CEPD, un organisme qui regroupe les 27 CNILs et qui lui aurait imposé un tel niveau d’amende. La sanction pécuniaire est certes salée, mais on reste loin des 5 milliards de dollars de la FTC. L’autorité américaine en charge de la protection des consommateurs et de la concurrence avait condamné Meta à payer, en 2019, une telle somme à la suite de Cambridge Analytica.
Pour autant, la condamnation, elle, n’en était pas moins attendue. Elle pendait au nez de Meta aussi sûrement qu’un pop-up au beau milieu d’une page Web qui s’ouvre. Voilà des mois, même des années, que cette histoire de transfert de données revenait sur la table des dirigeants de Facebook. Une histoire à peine croyable, auraient pu commenter à l’époque les cadres de l’entreprise, impossible en Amérique, auraient-ils même ajouté. L’histoire serait digne d’une Erin Brockovichvitch à la sauce européenne et numérique. Imaginez-donc : un Autrichien – Max Schrems – qui aurait attaqué non pas une, mais deux fois les précédents accords de transfert de données entre les États-Unis et l’UE – des textes appelés « Safe Harbor » pour le premier, et « Privacy Shield » pour le deuxième. Un homme qui se dresse contre une multinationale par principe, pour une histoire de données personnelles et de protection de la vie privée, vous y croyez-vous ?
À lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête
Pas besoin d’y croire : c’est ce qui est arrivé. En 2015 puis en 2020, la Cour de justice de l’UE a estimé que Max Schrems avait raison : les garanties proposées par les États-Unis ne suffisaient pas. Concrètement, les renseignements américains, peuvent avoir accès à nos datas, une fois qu’elles ont traversé l’Atlantique et atteint le sol américain. Cet accès n’est pas conforme à nos normes de protection de la vie privée (définies dans le RGPD, le fameux règlement européen sur les données personnelles) en raison de ces « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées », expliquait la Cour de justice de l’UE en 2020. Traduction : les pratiques de surveillance de masse du renseignement américain au nom de leur sécurité nationale ne sont pas acceptables.
Meta déjà prévenue qu’elle était hors la loi
Et avec la dernière invalidation de ce texte, qui autorisait que Meta envoie les données personnelles des Européens collectées sur ses réseaux aux États-Unis, l’entreprise savait qu’elle était sur la brèche, tant qu’un nouvel accord transatlantique n’était pas conclu. Comme d’autres entreprises, Meta avait alors pensé pouvoir continuer ses transferts en invoquant un mécanisme juridique alternatif appelé « Clauses contractuelles types ». Mais là aussi, une décision préliminaire de la CNIL irlandaise avait déjà prévenu Meta, dès le mois de mai 2021 : l’entreprise ne pouvait pas non plus transférer de données vers les États-Unis en invoquant cette autre méthode. Un point de vue qui a finalement été confirmé par la même autorité …deux ans plus tard.
Maintenant que le couperet est tombé, que peut faire l’entreprise ? Elle peut faire appel, on l’a déjà dit. C’est d’ailleurs ce qu’a annoncé Meta dans un communiqué, quelques heures plus tard. La raison : « Cette décision est erronée, injustifiée et constitue un dangereux précédent pour les innombrables autres entreprises qui transfèrent des données entre l’UE et les États-Unis », ont déclaré Nick Clegg, président des affaires mondiales de Meta, et Jennifer Newstead, directrice juridique de Meta.
Un nouvel accord transatlantique ou un Mexit ?
Mais la cour d’appel risque de confirmer la décision de la CNIL irlandaise, puisque le problème reste le même : les autorités américaines comme la CIA ont et auront encore accès aux données européennes. Autre solution : croiser les doigts pour qu’un nouvel accord entre les États-Unis et l’UE soit scellé avant que le délai de cinq mois ne s’écoule ? Cinq mois, c’est court pour un accord qui est en négociation depuis 2020, et dont la dernière version, proposée le 13 décembre dernier et qui s’intitule « Data Privacy Framework » ou DPF – a déjà des bâtons dans les roues. Le DPF a déjà reçu les réticences du Parlement européen et des CNIL européennes. Et s’il est tout de même adopté – ce qui serait possible d’ici la rentrée, selon certains – il risque à nouveau d’être invalidé par la Cour de justice de l’UE.
Car Max Schrems, encore et toujours lui, a déjà expliqué que si rien ne changeait au niveau du droit américain et de l’accès du Renseignement à nos données, son association irait en justice, comme elle l’a déjà fait. Autre option : organiser un traitement des données personnelles en Europe. Meta a déjà dit que c’était impossible. Cela pourrait être toutefois une solution moins onéreuse qu’un « Mexit » (contraction de Meta et Exit), le fait de renoncer à ce marché lucratif de 447 millions de citoyens. À moins que les États-Unis ne finissent par modifier leur loi sur l’espionnage, contraints et forcés ? Cette solution ne semble pas le moins du monde envisagée, pour l’instant.