Comme le DPC l'a informé hier aux journalistes, il a publié un projet de décision en vertu de l'article 60 du RGPD, concernant les transferts de données Facebook (Meta) UE-États-Unis à la lumière des divulgations FISA 702 et Snowden. Le projet de décision s'inscrit dans le cadre de la procédure "volontaire" initiée par le DPC parallèlement à la plainte initiale de Max Schrems.
Les Européens risquent de voir les services de médias sociaux Facebook et Instagram fermés cet été, alors que le régulateur irlandais de la protection de la vie privée a doublé l'ordre d'arrêter les flux de données de l'entreprise vers les États-Unis.
La Commission irlandaise de protection des données a informé jeudi ses homologues européens qu'elle empêchera le propriétaire de Facebook, Meta, d'envoyer des données d'utilisateurs d'Europe au projet de décision du régulateur irlandais américain réprimant le dernier recours de Meta pour transférer de grandes quantités de données aux États-Unis, après des années d'âpres batailles judiciaires entre le géant américain de la technologie et les militants européens de la protection de la vie privée.
La Cour de justice européenne en 2020 annulée un pacte de flux de données UE-États-Unis appelé Privacy Shield en raison de préoccupations concernant les pratiques de surveillance américaines. Dans sa décision, il a également rendu plus difficile l'utilisation d'un autre outil juridique que Meta et de nombreuses autres entreprises américaines utilisent pour transférer des données personnelles aux États-Unis, appelé clauses contractuelles types (SCC). La décision de quitter l'Irlande cette semaine signifie que Facebook est également obligé de cesser de compter sur les SCC.
Meta a averti à plusieurs reprises qu'une telle décision entraînerait la fermeture de bon nombre de ses services en Europe, notamment Facebook et Instagram.
"Si un nouveau cadre pour le transfert de données transatlantique n'est pas adopté et que nous ne sommes pas en mesure de continuer à compter sur les SCC ou d'autres moyens alternatifs de transfert de données de l'Europe vers les États-Unis, nous ne serons probablement pas en mesure d'offrir certains de nos produits les plus importants. et services, dont Facebook et Instagram, en Europe "
Meta a déclaré dans un dossier auprès de la Securities and Exchange Commission des États-Unis en mars de cette année.
Il est probable que l'ordre de blocus irlandais, s'il est confirmé par le groupe des régulateurs nationaux européens de la protection des données , fera frémir même la communauté des affaires au sens large, qui s'est demandé comment continuer envoyer des données depuis l'Europe vers les États-Unis suite à la décision de la Cour suprême de l'UE en 2020.
L'UE et les États-Unis négocient un nouveau texte de transfert de données qui permettrait à des entreprises comme Meta de continuer à expédier des données outre-Atlantique, quelle que soit la commande irlandaise. Bruxelles et Washington se sont mis d'accord sur un accord préliminaire au niveau politique en mars, mais les négociations dans la presse juridique sont au point mort et il est peu probable qu'un accord définitif soit trouvé avant la fin de l'année.
Un porte-parole du DPC irlandais a confirmé que le projet de décision avait été envoyé aux autres régulateurs européens de la protection de la vie privée, qui ont désormais un mois pour contribuer, mais ne discuteront pas des détails de la décision.
"Ce projet de décision, qui est soumis à l'examen des autorités européennes de protection des données, fait référence à un conflit entre le droit européen et américain qui est en train d'être résolu", a déclaré un porte-parole de Half. "Nous nous félicitons de l'accord UE-États-Unis pour un nouveau cadre juridique qui permettra le transfert continu de données à travers les frontières et nous espérons que ce cadre nous permettra de garder les familles, les communautés et les économies connectées."
Pas d'arrêt immanent. Le projet de décision de la DPC ne conduira pas à un arrêt imminent des transferts de données. En effet, le projet de décision déclenchera le processus en vertu de l'article 60 du RGPD, donnant aux autres autorités de protection des données (« APD ») un mois pour commenter la décision. Habituellement, d'autres DPA européennes se sont opposées à des décisions importantes émanant du DPC. Celui-ci entame alors une procédure en vertu de l'article 65 du RGPD, avec un vote sur la décision finale.
Max Schrems : " Nous nous attendons à ce que d'autres DPA soulèvent des objections, car certaines questions importantes ne sont pas couvertes dans le projet de DPC. Cela conduira à un autre projet, puis à un vote. Dans d'autres cas, cela a pris une autre année au total, car le DPC n'a pas volontairement mis en œuvre les commentaires des autres DPA et il a fallu plus de six mois pour soumettre le dossier au vote. " .
Deux ans à compter de la décision de la CJUE, 9 ans à compter de la procédure. L'affaire initiale promue par Max Schrems en 2013 s'est engagée à être menée en « parallèle » avec une affaire « de sa propre volonté » récemment ouverte. Le projet de décision ne concerne que "l'autodétermination". La procédure de plainte n'a pas été transmise au CEPD.
On ne sait pas ce qui est arrivé au cas initial à ce stade, car le DPC cache généralement les détails de ces cas.
Max Schrems : " Notre procédure de plainte initiale était scindée en deux procédures : une procédure de plainte et une deuxième procédure d'office. Nous avons demandé au DPC des commentaires sur ce qui est arrivé à la procédure de plainte. Dans l'ensemble, la procédure de plainte est pendante depuis 9 ans, sans même un projet de décision à ce jour ».
Pas d'amendes - malgré 9 ans de transferts de données illégaux ? Une question importante de la procédure sera de savoir si seuls les transferts de données à l'avenir doivent être interdits, ce que Facebook / Meta combattra pendant des années devant les tribunaux irlandais, ou si une décision finale comprendra également une amende pour les transferts de données illégaux ces dernières années.
Max Schrems : " Facebook utilisera le système juridique irlandais pour retarder toute interdiction réelle de transfert de données. L'Irlande devra envoyer la police pour couper physiquement les câbles avant que ces transferts ne s'arrêtent réellement. Ce qui serait encore facile à faire, cependant, c'est une amende pour les dernières années, dans lesquelles la CJUE a clairement déclaré que les transferts étaient illégaux. Il est étrange que le DPC semble "oublier" la seule sanction efficace dans ce cas. On pourrait avoir l'impression que le DPC veut juste que cette affaire tourne encore et encore . "
Serait-ce juste la pointe de l'iceberg ?
