Après deux arrêts complets et motivés de la Cour de justice européenne, Facebook décide de mieux connaître dans sa propre analyse. Cela ressort clairement des documents confidentiels rendus publics par le groupe de défense de la vie privée Noyb.
Facebook ne pense pas que l’autorité irlandaise de protection des données doive créer un problème de transfert de données des citoyens européens de l’UE vers les États-Unis. Il arrive à cette conclusion dans sa propre analyse confidentielle, qui a été divulguée par le groupe de défense de la vie privée Noyb. Noyb est une organisation de Max Schrems, qui a déposé une première plainte contre les transferts de données de Facebook, il y a près de neuf ans. Cette plainte a finalement abouti aux arrêts Schrems I et Schrems II de la Cour de justice des Communautés européennes, qui lui ont essentiellement donné raison.
Quel est le problème ?
Le bref résumé se lit comme suit : Max Schrems estime que les droits fondamentaux européens associés à ses données personnelles ne sont pas suffisamment garantis par Facebook lorsque cette entreprise transfère ses données aux États-Unis. Les utilisateurs européens de Facebook concluent un contrat avec Facebook Irlande, mais les données sont envoyées sans relâche à Facebook aux États-Unis.Schrems dépose sa plainte auprès de l’autorité irlandaise de protection des données, après quoi commence une longue agonie juridique.
Au cœur du problème se trouve une question simple : les États-Unis, lorsqu’ils traitent des données provenant de citoyens européens, fournissent-ils une protection similaire aux règles européennes ? Si les États-Unis garantissent que les données personnelles des citoyens de l’UE sont protégées au même niveau que dans l’Union européenne, le transfert de données ne pose aucun problème. Dans le cas contraire, c’est aux autorités compétentes des États membres (comme, dans le cas présent, l’autorité de protection des données de l’Irlande) de restreindre le transfert.
Jugement clair de la Cour
L’affaire se termine par une réponse à une question préjudicielle d’un tribunal irlandais. La Cour de justice de l’Union européenne a attribué l’affaire à ce tribunal. Dans cette décision, publiée le 16 juillet 2020, la Cour, après une analyse très détaillée de toutes les règles européennes et américaines pertinentes, estime que la protection aux États-Unis n’est pas équivalente. Pour les passionnés : la conclusion pertinente commence au paragraphe 168.
En bref, cela signifie que divers programmes de surveillance aux États-Unis ne relèvent pas de la législation ordinaire. Ces programmes ne sont pas conformes aux normes européennes. Cependant, le plus gros problème est qu’un citoyen européen n’a pas accès à un véritable tribunal qui puisse traiter les plaintes de manière indépendante et avoir son mot à dire sur les actions des services de renseignement. En résumé, il y a de belles règles à regarder, mais en tant que citoyen de l’UE, vous ne pouvez pas les faire appliquer.
Le niveau de protection n’est pas équivalent.
Le niveau de protection n’est donc pas équivalent, un transfert de données personnelles ne peut pas simplement être effectué. Par ailleurs, la Cour a également annulé la réglementation du Bouclier de protection des données de la Commission européenne, car elle ignorait, elle aussi, l’absence de protection par un véritable tribunal aux États-Unis.
Dans sa décision, la Cour suprême de l’ensemble de l’Union européenne a ratifié un arrêt antérieur en 2015. Non seulement la motivation est solide, mais elle a aussi un pouvoir juridique inégalé.
Facebook n’est pas d’accord.
Propre analyse, conclusion inverse
Le réseau social fait sans faute sa propre analyse, arrive à la conclusion inverse, ignore toute la motivation de Schrems I et Schrems II, jette le poids juridique de la Cour de justice de l’Union européenne dans la poubelle et note que les règles américaines sont équivalentes. L’analyse (double) impartiale dans les moindres détails de la plus haute magistrature de l’UE est erronée, Facebook a raison. L’autorité irlandaise de protection des données peut donc décider qu’il n’y a rien à craindre.
Le document est de la folie pure, mais montre comment Facebook (et Meta) se perçoivent : complètement au-dessus des lois. Le fait qu’une décision de la Cour qui affirme que les règles ne sont pas équivalentes, en termes juridiques, par définition, signifie que les règles ne sont pas équivalentes n’est pas pertinent, selon Facebook. Le réseau social a jeté un coup d’œil aux règles elles-mêmes, et tout va bien.
Meta n’investit pas de temps et d’efforts pour travailler selon les règles européennes, qui à cet égard n’ont en tête que la protection des citoyens, mais opte plutôt pour une analyse qui cherche à démoraliser la décision de la Cour sans fondement.
Les Irlandais traînent les pieds pour obtenir une décision depuis très longtemps, à la grande frustration d’à peu près tout le monde. Maintenant, la Commission menace même de centraliser la supervision. En attendant, Facebook se croit au-dessus des lois, et pour l’instant, il a raison.