Les batailles réglementaires de Meta tirent la sonnette d'alarme pour les grandes technologies 

Meta a mené des batailles juridiques sur plusieurs fronts au cours de la dernière année, avec quelques victoires et quelques revers. L’un de ces cas pourrait avoir des conséquences plus larges pour l’industrie technologique.

Aux États-Unis, le géant des médias sociaux a remporté pour la première fois un procès antitrust contre la FTC en février, une équipe qui gagne ? le droit d’acheter une startup de réalité virtuelle Within Unlimited. Puis il repousser une autre poursuite antitrust achetée par 48 États pour ses acquisitions de WhatsApp et Instagram. Cela n’augure rien de bon pour la FTC, qui poursuit actuellement une affaire historique sur le même problème.

La fortune récente de Meta en Europe a été moins positive. Le principal régulateur des données du bloc, la Commission irlandaise de protection des données, a été pas connu historiquement pour ses décisions agressives en matière de confidentialité des données. Cela a changé récemment puisque le DPC est intervenu à plusieurs reprises avec davantage de sanctions. Après plusieurs amendes contre Meta depuis l’automne 2021, le DPC a largué une bombe financière en mai. Il amende le géant des médias sociaux 1.2 milliard d'euros pour avoir violé les principes du RGPD en transférant les données collectées auprès des utilisateurs européens de Facebook vers les États-Unis

Quand les SSC ne suffisent pas 

L’UE et les États-Unis n’ont actuellement pas conclu d’accord adéquat pour le transfert de données entre les deux pays, bien qu’ils y travaillent. Il y a eu deux accords de ce type auparavant : l’accord Safe Harbor de 2000 et le Privacy Shield. Ces deux accusations ont été annulées après que l'avocat autrichien et défenseur de la vie privée Max Schrems les a contestées.

Au lieu de cela, Facebook s'est appuyé sur Clauses contractuelles types (CSC), qui sont des modèles d'accords pour les accords bilatéraux d'échange de données entre des organisations de l'UE et des États-Unis. La Commission européenne les a mis à jour en juin 2021.

Dans sa décision de mai, la DPC a déterminé que même si les SSC offrent une certaine protection aux données des utilisateurs de l'UE, ils ne s'appliquent qu'aux parties contractantes. Le gouvernement américain n’est pas signataire de ces contrats, ce qui signifie qu’il ne peut pas l’empêcher d’appliquer ses politiques agressives de collecte de données et de surveillance de masse aux données des utilisateurs.

En octobre dernier, la Maison Blanche a tenté d'aborder cette question dans son Décret exécutif sur le renforcement des garanties pour les activités de renseignement d'origine électromagnétique aux États-Unis. Cela crée un tribunal de révision de la protection des données pour examiner au cas par cas les détournements de données du gouvernement américain. Les particuliers ou les gouvernements des États éligibles pouvaient porter plainte auprès de la Cour concernant la collecte des données de leurs résidents après leur transfert aux États-Unis.

Le problème, selon le DPC, est que l’UE n’est pas encore considérée comme un État éligible, ce qui signifie que ses résidents ne peuvent pas encore profiter de la Cour. Cela rend leurs données vulnérables aux États-Unis, quoi qu’en dise la CSC.

Après avoir jugé les CSC insuffisantes dans les relations avec les États-Unis, le DPC a conclu que les transferts ne sont pas autorisés. Parallèlement à l'amende, il a exigé que Meta cesse de transférer les données des utilisateurs de l'UE vers les États-Unis dans un délai de cinq mois. Il doit également mettre en conformité toutes les données actuelles sur les utilisateurs de l'UE. GDPR dans les six mois (ce qui signifie le supprimer).

Effets plus larges 

La décision du DPC supprime effectivement le SSC comme outil pour les entreprises souhaitant envoyer les données des résidents de l'UE aux États-Unis. La section 10.11 de l'arrêt du DPC prévient que les ramifications de cette affaire pourraient s'étendre bien plus loin que Meta. Ça disait:

« … l'analyse de cette décision expose une situation dans laquelle toute plate-forme Internet répondant à la définition d'un fournisseur de services de communications électroniques soumis au programme FISA 702 PRISM peut également enfreindre les exigences du chapitre V du RGPD et de la Charte des droits fondamentaux de l'UE concernant leurs transferts de données personnelles vers les États-Unis.

À quel point cela pourrait-il être catastrophique pour le secteur technologique ? Meta a déjà averti qu'elle pourrait devoir fermer bon nombre de ses services en Europe si elle n'est pas autorisée à transférer des données vers son pays. D'autres entreprises qui s'appuient sur du contenu généré par les utilisateurs et des graphiques sociaux seront probablement confrontées au même problème.

Que faire maintenant? 

Meta a encore des options. Il n'est pas nécessaire de se conformer aux exigences de suppression des données avant octobre prochain et est attrayant la décision.

Une option pourrait être que des entreprises comme Meta et d’autres investissent davantage dans des centres de données basés dans l’UE pour stocker localement les données sur les résidents de l’UE, résolvant ainsi le problème de souveraineté des données.

Cette fenêtre donne également le temps de travailler sur un troisième accord d'adéquation entre l'Europe et les États-Unis. Cet accord est déjà en bonne voie et pourrait être achevé cet été. Beaucoup dépendra de la capacité de l’UE à devenir un État éligible afin que ses citoyens puissent porter plainte auprès de la Cour de révision de la protection des données.

Encore des problèmes à venir 

Entre-temps, Meta fait face à de nouvelles actions en Europe. La Commission européenne dit en décembre de l'année dernière, l'activité de petites annonces en ligne Marketplace de la société a enfreint les règles antitrust. Le coupler avec le service de réseau social lui confère un avantage injuste, se sont plaints les régulateurs. L'UE a également accusé l'entreprise d'utiliser les données en ligne d'autres services.

Si cette affaire aboutit, Facebook s’expose à une amende pouvant aller jusqu’à 10 % de ses revenus, ce qui pourrait lui valoir 11.8 milliards de dollars de pénalités. Meta a contesté les demandes d'informations de l'UE dans cette affaire, mais le Tribunal a rejeté cette demande, ouvrant ainsi la voie à la poursuite de l'affaire.

« Avancez vite et cassez les choses » était le slogan interne de Meta. Il a peut-être abandonné cela, mais il adhère toujours à une règle empirique plus générale adoptée par le secteur technologique dans son ensemble : « agissez d’abord et demandez pardon plus tard. »

Les entreprises technologiques considèrent les sanctions encourues en vertu de cette doctrine plus large comme un coût pour faire des affaires dans un secteur à forte croissance et aux enjeux élevés. Alors que les régulateurs imposent des amendes de plus en plus élevées et envisagent même de démanteler des entreprises technologiques, cela pourrait changer.