Comme le rapporte un article publié le 20 septembre par le journal irlandais The Sunday Business Post, citant des documents judiciaires, le géant américain Facebook a annoncé qu'il pourrait bientôt être contraint de fermer ses plateformes de réseaux sociaux au sein de l'Union européenne (UE) en raison d'une injonction de la CNIL irlandaise.
En effet, suite à la demande, fin août, de la Data Protection Commissioner (l'Autorité irlandaise de protection des données personnelles, en français) − l'équivalent de la CNIL en Irlande − de stopper tous transferts de données privées d'utilisateurs européens vers ses data centers localisés aux Etats-Unis, la multinationale a déclaré à la Haute Cour irlandaise ne pas pouvoir s'y conformer, assurant que les demandes de la Data Protection Commissioner étaient «infaisables dans la pratique».
Cette requête irlandaise obligerait donc Facebook à «restructurer un pan important de son architecture cloud pour isoler totalement le stockage et le traitement des données de ses utilisateurs européens. Un chantier de très grande ampleur. Sous peine de quoi, le groupe s'expose à une amende pouvant aller jusqu'à 4 % de son chiffre d'affaires annuel, soit près de 2,8 milliards de dollars», explique Les Echos.
Le géant du web pourrait ne plus «fournir les services Facebook et Instagram dans l'Union européenne»
«Il n'est pas très clair pour Facebook comment, dans de telles circonstances, il serait possible de continuer à fournir les services Facebook et Instagram dans l'Union européenne», a déclaré la responsable de la protection des données et de la vie privée chez Facebook, Yvonne Cunnane, à la Haute Cour de justice d'Irlande.
«Facebook ne menace pas de se retirer de l'Europe. Des documents juridiques déposés auprès de la Haute Cour irlandaise exposent simplement le fait que Facebook, et de nombreux autres services, entreprises, et organisations dépendent des transferts de données entre l'Union européenne et les Etats-Unis pour faire fonctionner leurs services», a réagi un porte-parole de Facebook, cité par Les Echos.
Dans un communiqué publié le 9 septembre, cité par le Le Journal du Geek, le réseau social aux deux milliards d'utilisateurs avait mis en garde les régulateurs européens : «Un manque de transferts de données internationaux sûrs, sécurisés et légaux aurait des conséquences néfastes pour l’économie européenne […] Nous exhortons les régulateurs à adopter une approche pragmatique et proportionnée jusqu’à ce qu'une solution durable à long terme puisse être trouvée.»
Facebook avait jusqu'à mi-septembre pour répondre à cette injonction préliminaire de la Data Protection Commissioner. Cependant, le groupe de Mark Zuckerberg a, entre-temps, demandé et obtenu un gel temporaire de la requête, et porté l'affaire auprès de la Haute Cour de justice d'Irlande. Cette dernière devrait statuer sur ce dossier en novembre.
Les outils de surveillance américains, risque trop élevé pour la protection des données personnelles
Cette décision de la Data Protection Commissioner n'est en réalité que le dernier volet du bras de fer entre les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) et les autorités européennes en matière de protection des données personnelles.
La Cour de justice de l'Union européenne (CJUE) a invalidé le 16 juillet le mécanisme permettant le transfert de données personnelles entre l'UE et les Etats-Unis depuis 2016, le «Privacy Shield», face au risque trop élevé que présentent les outils et programmes de surveillance américains.
En effet, ces derniers sont incompatibles avec le règlement général sur la protection des données personnelles (RGPD), entré en vigueur dans l'UE en 2018. Car si les données personnelles d'utilisateurs de l'UE transitent par les Etats-Unis, il est alors impossible de garantir la même protection des données que sur le Vieux Continent, puisque les règles ne sont pas les mêmes.
Cette affaire devrait par ailleurs concerner d'autres géants américains de la technologie qui ont, tout comme Facebook, installé leur siège européen en Irlande, et sont donc directement concernés par l'injonction de la Data Protection Commissioner.