Données personnelles : l’Europe va-t-elle (une nouvelle fois) battre en retraite face à Meta ?

Atlantico : Meta Platforms Inc. devrait faire l'objet d'une nouvelle ordonnance de protection des données le 22 mai, selon des fonctionnaires de l'UE, concernant la manière dont elle transfère les données européennes vers les États-Unis. Que faut-il en attendre ?  

Julien Pillot : Il ne nous revient pas de nous prononcer avant l’autorité irlandaise en charge de la protection des données (DPC), compétente en matière d’application du RGPD pour Meta dont le siège européen, à l’instar de la plupart des grands acteurs américains du numérique, se trouve sur l’île d’Emeraude, perçue comme particulièrement accommodante sur le plan fiscal.  

Ce que l’on peut dire, en revanche, c’est que cette ordonnance attendue pour le 22 mai est très attendue. Et ce pour plusieurs raisons. La première, c’est que le Conseil européen de la protection des données avait déclaré à la mi-avril qu’avait été prise une « décision contraignante » à l’encontre de Meta en matière de transfert de données entre l’Europe et les Etats-Unis, sans en préciser toutefois la nature. L’ordonnance du 22 mai va lever le voile de mystère. Si une amende (pouvant se monter jusqu’à 4% du chiffre d’affaires annuel) visant à sanctionner le comportement de Meta semble acquise, il se murmure également qu’une interdiction pure et simple d’un tel transfert de données n’est pas à exclure. La seconde, c’est que cette ordonnance va intervenir seulement quelques mois avant que ne soit présenté un nouveau cadre de protection des données lors de transferts entre l’UE et les Etats-Unis, avec pour objectif avoué d’assurer aux citoyens européens une meilleure garantie de protection de leur vie privée. Nul doute que la nature de cette ordonnance donnera le « La » des discussions entre les régulateurs des deux côtés de l’Atlantique.  

Les régulateurs de la protection de la vie privée ont envisagé de forcer Meta à supprimer une décennie de données européennes. Cela pourrait-il vraiment arriver ?  

Cela pourrait tout à fait arriver. On se souvient, par exemple, de la décision de la Cnil en 2021 qui enjoignait Clearview AI de supprimer sous deux mois des millions de photos et de données biométriques de citoyens français pour violation du RGPD. En l’espèce, il était reproché à l’entreprise américaine de collecter et utiliser des données biométriques par différents canaux sans avoir préalablement recueilli le consentement explicite des individus, et ce en contradiction avec l’article 6 du RGPD. Les similitudes avec l’affaire qui intéresse Meta sont nombreuses, notamment pour ce qui concerne la modification des CGU de Facebook et Instagram qui avait été faite de telle manière que les utilisateurs de ces applications pouvaient être amenés à accepter de la publicité ciblée sans en avoir pleinement connaissance. 

Cependant, à mon sens, un tel scénario n’est pas le plus probable dans le cas d’espèce. D’une part, parce qu’une telle décision serait difficilement applicable sur le plan technique. Meta a admis dans le courant de la procédure qu’il lui serait extrêmement difficile, voire impossible, d’identifier les données concernées par une requête en suppression, lesquelles ont été depuis (re)travaillées, agglomérées, anonymisées et stockées dans ses différents méga-serveurs dispersés aux quatre coins du Globe. D’autre part, parce que jusqu’à présent, les autorités européennes de régulation n’ont pas fait la démonstration d’une extrême sévérité vis-à-vis des GAFAM. Une étude menée par l’ICCL (Irish Council for Civil Liberties) publiée le 15 mai 2023, a justement mis en lumière un certain « laxisme » des autorités européennes de protection des données en matière d’application du RGPD, et pointé le rôle particulièrement conciliant de l’autorité irlandaise qualifiée de « goulet d’étranglement ». Il faut bien comprendre que la DPC est un passage quasi-obligatoire en matière de règlement de litiges liés à la protection des données, dans la mesure où le RGPD a instauré un système de « guichet unique » qui confère le contrôle des entreprises au régulateur du pays dans lequel ces dernières ont installé leur siège européen. Soit l’Irlande pour l’extrême majorité d’entre-elles, pour les raisons évoquées plus haut dans cet entretien.  

En quelques mots, cette étude a montré que dans la période s’étalant de mai 2018 à décembre 2022, sur les 400 dossiers relatifs au RGPD instruits en Europe dans le cadre du RGPD, seulement 159 ont débouché sur des décisions défavorables, pour un prononcé de 28 amendes et de 49 mises en demeure. Un bilan déjà fort maigre, qui devient famélique selon l’ICCL si on ne s’intéresse qu’à la DPC dont 46 dossiers sur les 54 que l’autorité irlandaise a instruit en 5 ans se sont traduits par des résolutions amiables. Bref, jusqu’à présent, les autorités européennes de protection des données semblent pour l’heure davantage enclines à prononcer des sanctions financières, parfois sévères, que d’infliger des mesures comportementales restrictives. Il serait étonnant que de toutes les autorités européennes, celle qui est présentée comme la plus conciliante avec les géants du numérique, soit celle qui la première durcisse clairement le ton.  

Si Meta s'en sort avec une simple amende, cela signerait-il une nouvelle défaite pour les Européens dans leur combat contre les GAFAM ? L'UE est-elle impuissante ?  

Je ne crois pas que l’UE soit impuissante, ni même que l’ordonnance à venir puisse être qualifiée de « défaite ». Déjà, les sanctions financières prononcées pour manquement au RGPD sont loin d’être anodines. Pour ne parler que de Meta, rappelons que le Comité européen de protection des données (CEPD) a prononcé une amende de 390 millions d’euros à l’endroit de Meta le 4 décembre 2021. Même la DPC, présentée quelque peu hâtivement comme laxiste, a sanctionné Meta a 5 reprises ces deux dernières années pour un montant cumulé de 1,1 milliard d’euros ! Ces sanctions ne peuvent en aucune façon être qualifiées d’anodines, à plus forte raison dans un contexte économique des plus turbulents pour les géants de la tech en général, et Meta en particulier.  

Ensuite, parce que le RGPD n’a jamais que 5 ans d’existence (son entrée en vigueur remonte au 25 mai 2018). Et que, passé une première phase de pédagogie, et le temps incompressible de l’instruction de dossiers parfois complexes, nous observons une accélération des décisions et du prononcé des sanctions. Le fait qu’elles soient d’abord financières avant d’être comportementales est tout à fait logique à mon sens, car il s’agit dans un premier temps de constater et de sanctionner des infractions, et de laisser aux entreprises le temps de se mettre en conformité avec les faits qui leur sont reprochés.  

Enfin, il ne faut pas oublier qu’avec le RGPD, l’UE se veut normative. En d’autres termes, l’objectif est bien d’amener progressivement les puissances étrangères, les Etats-Unis et la Chine au premier chef, à adopter des règlements de protection des données compatibles avec notre RGPD. Les discussions entre les régulateurs européens et leurs homologues étrangers progressent rapidement, et les différentes sanctions infligées aux entreprises contrevenantes contribuent à instaurer un rapport de force favorable. Car plus ces entreprises seront sanctionnées, plus elles seront les premières à appeler à une forme d’uniformisation globale de certaines règles et pratiques. Bien loin d’être une défaite, j’ai plutôt le sentiment que cette ordonnance à venir, qu’importe sa nature, constitue l’antichambre d’une victoire normative prochaine. “L'UE ne peut pas être une superpuissance réglementaire à moins qu'elle n'applique ses propres lois”, avançait l’ICCL dans son étude. Cela tombe bien, elle s’en donne – certes progressivement – les moyens.  

« Les amendes, c'est bien, mais lorsqu'il s'avère que Google et d'autres n'ont pas le droit légal d'utiliser nos données, ils ont toujours nos données », a déclaré Estelle Masse, responsable de la protection des données au niveau mondial pour Access Now, un groupe de défense des libertés civiles. Quelle stratégie devrait adopter l’Union européenne pour mettre fin aux transferts de données, aussi bien vers les Etats-Unis que vers la Chine ? Est-ce envisageable d'y parvenir ?

C’est effectivement un problème. La réponse que les autorités européennes de protection des données apporte à Madame Masse est, comme nous l’avons vu, à plusieurs étages. D’abord, une sensibilisation des entreprises étrangères à la protection des données et au respect de la vie privée, puis une obligation de stockage des données personnelles relatives aux citoyens européens en Europe avec interdiction de transfert vers l’étranger, et enfin incitation faite aux puissances étrangères de faire appliquer des règles compatibles avec notre propre conception du RGPD. Effectivement, il s’agit d’une réponse qui pourrait être perçue comme incomplète aux yeux d’une personne comme Madame Masse car, en effet, il faut bien concéder que les entreprises de la tech savent aussi faire durer les procédures dans le temps de façon à conserver le plus longtemps possible le contrôle sur cet or numérique que constituent nos données personnelles. Et que sauf à prononcer un « grand reset », hautement improbable, ces géants continueront de bénéficier de cet avantage substantiel, confortablement assis sur un stock monumental de données qualifiées.  

Mais attention toutefois. Il ne faut pas que ce genre de déclaration nous détourne du fond du problème : nous avons failli à imposer des champions européens de la tech, et nous sommes des centaines de millions de consommateurs européens bien peu précautionneux de services étrangers. Tant que cette situation perdurera, le problème de fond ne sera pas résolu et l’essentiel de nos usages et données seront stockés et monétisés par des intérêts étrangers. Sauf à prononcer des interdictions qui seraient autant de non-sens économiques que diplomatiques. Une fois encore, j’ai le sentiment que la stratégie actuellement activée par l’Union Européenne est la bonne. Elle ne va peut-être pas assez loin et assez vite aux yeux de certaines personnes physiques ou morales, mais elle me semble équilibrée et surtout, réaliste.