Le 12 mai 2023 est la date limite pour que le principal régulateur européen de la protection de la vie privée, Meta, prenne une décision finale sur une plainte vieille de près de dix ans contre les transferts de données personnelles de Facebook de l'UE vers les États-Unis, qui pourraient obliger l'entreprise à arrêter le flux de données.
La Commission irlandaise de protection des données (DPC) a confirmé qu'elle rendrait sa décision finale aujourd'hui.
Cependant, il est normal qu'il y ait plus de délais (un peu plus d'une semaine) avant que la décision ne soit rendue publique. La date de sortie officielle est le 22 mai, en supposant que les détails ne fuient pas.
Le retard dans la publication de la décision adoptée est dû au fait que Meta aura le temps d'examiner le document pour identifier les informations confidentielles et/ou commercialement sensibles qu'elle pourrait vouloir expurger, d'une part, et en raison d'un jour férié qui affecte un autre régulateur de l'UE impliqué.
La date du 12 mai pour l'adoption de la décision finale du DPC sur la plainte suit un calendrier établi par une décision de règlement des différends prise par le DPC. Comité européen de la protection des données le mois passé.
Appliquant les mécanismes intégrés au Règlement général sur la protection des données (RGPD), le Conseil est intervenu pour résoudre le désaccord entre les différents régulateurs de l'UE sur le contenu de la décision : prendre une décision contraignante sur les transferts Meta et donner un mois au DPC pour la mettre en œuvre.
La décision de résolution des litiges du Board n'est pas encore connue car elle n'a pas été rendue publique dans l'attente de la décision finale du DPC (qui la mettra en œuvre), de sorte que le sort des flux de données européens de Facebook est toujours en jeu. . .
Cela étant dit, on s'attend à ce que Meta reçoive l'ordre de suspendre les flux de données, étant donné que la société a reçu une ordonnance de suspension préliminaire du DPC, à l'automne 2020.
À ce moment-là, la société a obtenu une suspension de la procédure de la DPC, ce qui a contribué à retarder le calendrier de mise en œuvre du GPRD jusqu'à ce que les tribunaux irlandais rejettent la contestation de Meta. D'autres retards ont suivi, lorsque le projet de décision du DPC sur l'affaire a fait face à des objections d'autres autorités de protection des données de l'UE, qui ont finalement été résolues par la décision contraignante du CEPD le mois dernier.
Cela signifie que le processus d'objection au règlement s'essouffle, mais on s'attend à ce que Meta conteste toute ordonnance de suspension devant les tribunaux irlandais.
La société a continuellement tenté de minimiser la situation, affirmant dans sa dernière déclaration qu'elle "se rapporte à un conflit historique entre le droit européen et américain, qui est en train d'être résolu". Ce qui fait référence à un projet d'accord entre les deux législateurs pour un nouveau cadre de transfert de données transatlantique de haut niveau visant à résoudre le conflit entre les pratiques de surveillance américaines et les droits de protection des données de l'UE.
Cependant, ce cadre de confidentialité des données entre l'UE et les États-Unis, comme l'a appelé l'accord, est toujours en cours d'examen par les institutions de l'UE, qui ont fait part de leurs inquiétudes quant au fait qu'il ne dispose pas de garanties suffisamment solides. Et pas plus tard que cette semaine, les législateurs du Parlement européen ont réitéré un appel à la Commission pour qu'elle prenne plus de temps pour améliorer la proposition, suggérant qu'il pourrait y avoir de nouveaux retards dans l'adoption d'un accord sur lequel Meta semble miser pour sauver ses transferts de données.
Bien que la question de la suspension des données soit le principal problème de cette affaire GDPR, d'autres éléments importants à prendre en compte dans la décision finale de l'Irlande incluent la question de savoir si Meta sera ou non condamné à supprimer les données des utilisateurs européens s'il découvre qu'elles ont été transférées illégalement aux États-Unis. .
En mars, MLex signalé qu'au moins deux autorités de protection des données faisaient pression en sa faveur et que Meta faisait pression sur les institutions de l'UE contre une telle démarche.
En plus de cela, des documents internes divulgués l'année dernière suggèrent que les pratiques de gestion des données du géant de la technologie sont, pour le dire poliment, un gâchis. Ainsi, la facilité avec laquelle Meta pourrait identifier et isoler les données des utilisateurs européens, s'il lui était ordonné de les supprimer, est une considération/complication importante (et très coûteuse).
Pourquoi est-ce si important? Eh bien, pour rappel, nous avons récemment appris qu'un tribunal fédéral avait conclu que Facebook ne semblait avoir aucun moyen de purger rétroactivement les données des utilisateurs. Ils ont dit qu'il faudrait jusqu'à un an pour obtenir toutes les données sur un utilisateur.
Jason Kint (@jason_kint) Mai 11 2023
Meta, bien sûr, pourrait également être condamné à une amende s'il s'avère qu'il a transféré des données illégalement.
Le GPRD peut infliger des amendes pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial, même si, à ce jour, Meta a remporté un succès considérable en recevant des amendes bien en deçà du maximum théorique.
Le groupe de défense des droits à la vie privée, nob, dont le fondateur Max Schrems est à l'origine de la plainte contre le transfert de données UE-États-Unis de Facebook, a écrit au EDPB (Conseil européen de la protection des données) en janvier pour se plaindre du montant de l'amende infligée au DPC plus tôt cette année. , sur le traitement illégal des données publicitaires, faisant valoir que la sanction de 390 millions d'euros était insignifiante par rapport à l'ampleur des infractions (en fait, il a suggéré qu'elle était inférieure à plus de 3500 milliards d'euros).
En fait, l'Irlande avait proposé un niveau d'amende bien inférieur pour cette infraction, entre 28 et 36 millions d'euros, mais le régulateur a été contraint de l'augmenter pour mettre en œuvre la décision contraignante du CEPD.
Sans cette intervention du Conseil, Meta aurait dû faire face à une situation encore plus GDPR faible pour le traitement illégal de millions de données Rencontres européennes pour la publicité comportementale. Il sera donc intéressant de voir quel niveau de pénalité (le cas échéant) est inclus dans la décision finale de l'Irlande sur les transferts de données de Facebook.
Cela dit, les sanctions financières imposées aux géants de la technologie sont souvent moins intéressantes que les ordres opérationnels qui ont le potentiel de forcer des changements à des modèles commerciaux abusifs. Et tandis que Meta continue d'exploiter les données des utilisateurs européens pour le ciblage publicitaire comportemental, il a au moins été contraint d'offrir une option de retrait à la suite de l'application susmentionnée du GPRD. Quelque chose qu'il n'a jamais fait auparavant.
Comment Meta pourrait être contraint de modifier son modèle commercial pour corriger les transferts de données transatlantiques illégaux est une question ouverte.
Mais il ne fait aucun doute qu'il fera de son mieux pour contester toute ordonnance de suspension devant le tribunal, il peut donc trouver un moyen de retarder le fait d'avoir à agir suffisamment longtemps pour que le cadre complet de l'objectif se déplace avec l'arrivée d'une nouvelle adéquation des données américaines. accord.
Sinon, les coûts seront réels et importants.
Lors d'une présentation des résultats avec des investisseurs le mois dernier, la société a admis qu'une ordonnance de suspension des flux de données en provenance d'Europe pourrait affecter 10 % de ses revenus publicitaires mondiaux.
Il espère évidemment ne pas en arriver là et est convaincu que le nouveau mécanisme de transfert de données entre l'UE et les États-Unis sera adopté juste à temps. Un porte-parole de l'entreprise a refusé de discuter des éventualités si on lui ordonnait de suspendre les flux de données, soulignant les "progrès" que les politiciens ont réalisés vers un nouveau pacte.
Mais même si l'accord de haut niveau arrive assez tôt pour empêcher la fermeture de Facebook en Europe cette année, Schrems suggère que le nouveau cadre de haut niveau est "susceptible" d'être invalidé par le plus haut tribunal du bloc, comme ils l'étaient les deux accords précédents. , il estime donc que Meta n'achèterait que "deux ans de plus" d'expansion avant que la question ne se reproduise.
Pour une solution à long terme, il a suggéré que Meta devra fédérer l'infrastructure de Facebook. Mais un tel remodelage majeur de votre entreprise coûterait évidemment aussi très cher.
