Données publicitaires : la justice européenne autorise le transfert de data vers les Etats-Unis, soulagement pour Meta

La justice européenne a validé le Data Privacy Framework (DPF), autorisant le transfert de données de l'Europe vers les États-Unis. Une décision qui offre un répit à Meta, dont les outils publicitaires reposent sur ce texte.

C’est un soulagement, au moins temporaire, pour Meta. Saisi à l’automne 2023 par le député français Philippe Latombe, le Tribunal de l’Union européenne a validé début septembre le Data Privacy Framework (DPF).

Ce cadre juridique signé entre Bruxelles et Washington autorise le transfert de données du continent vers les Etats-Unis – un élément primordial pour les outils publicitaires de la maison mère de Facebook et Instagram.

La justice européenne considère que Meta ne respecte pas le RGPD.

Pour comprendre les enjeux de ce dossier explosif, il faut revenir à l’adoption du Règlement général sur la protection des données (RGPD) en 2018. Parmi une multitude de dispositions pour protéger les internautes européens, le texte interdit aux entreprises de transférer des données personnelles vers des pays qui ne garantissent pas le même niveau de protection.

À cette époque, Facebook – officiellement devenu Meta trois ans plus tard – s’appuie sur un cadre juridique baptisé Privacy Shield. Mais celui-ci est invalidé en 2020 par la justice européenne, qui considère qu’il n’est pas conforme au RGPD.

La raison: plusieurs législations américaines permettent aux autorités et aux services de surveillance de mettre la main sur des données personnelles sans supervision, ni autorisation judiciaire.

Ce coup de tonnerre oblige alors Bruxelles à négocier un nouvel accord avec Washington. Les Européens assurent avoir obtenu plusieurs garde-fous, devant permettre au DPF de respecter le RGPD.

Des mécanismes de contrôle sont mis en place. Et les Etats-Unis s’engagent à limiter l’accès aux données européennes par leurs autorités à ce qui est “nécessaire” et de manière “proportionnée”, reprenant la sémantique de la législation européenne.

L’arrivée au pouvoir de Trump pourrait remettre l’accord en question

Pour le député Philippe Latombe, ces garanties ne sont pas suffisantes pour garantir un niveau de protection suffisant, une fois les données envoyées sur des serveurs américains.

Dans sa saisine du Tribunal de l’UE, il soulignait notamment que le comité supervisant la stricte application du DPF n’opère pas de manière indépendante vis-à-vis de la Maison Blanche, le rendant impuissant pour empêcher de potentiels abus par les autorités américaines.

Ses arguments n’ont pas convaincu les magistrats européens, qui ont validé les fondements du DPF. Leur jugement pourrait cependant n’être que temporaire: il s’applique seulement à la date de l’entrée en vigueur du texte, c’est-à-dire avant l’arrivée au pouvoir de Donald Trump.

Or, le président américain a depuis pris plusieurs mesures susceptibles d’affaiblir le DPF, comme le renvoi de trois des cinq administrateurs du comité de supervision.

« Un examen plus large du droit américain – en particulier de l’utilisation des décrets présidentiels par l’administration Trump – devrait aboutir à un résultat différent », prédit l’activiste autrichien Max Schrems.

Déjà à l’origine de l’annulation du Privacy Shield, il n’exclut pas de lancer un recours contre le DPF.

« Si la Commission européenne a peut-être gagné une année supplémentaire, l’incertitude juridique demeure pour les utilisateurs et les entreprises », estime-t-il.

Meta échappe à une nouvelle amende, dont la dernière a dépassé le milliard d’euros

En attendant, la décision du Tribunal de l’UE représente une victoire pour les quelque 3.400 entreprises américaines qui transfèrent des données de l’Europe vers les Etats-Unis.

Faute de quoi, elles auraient dû s’appuyer sur une solution alternative juridique incertaine et potentiellement risquée: les “clauses contractuelles types”. Celles-ci n’ont en effet été validées que sous conditions par la justice des Vingt-Sept.

Meta est particulièrement bien placé pour en témoigner. Après l’invalidation du Privacy Shield en 2020, le groupe de Menlo Park s’était appuyé sur cet instrument pour continuer à envoyer des données vers des serveurs situés aux Etats-Unis. Cela lui a valu au printemps 2023 une amende de 1,2 milliard d’euros, du jamais vu dans le cadre du RGPD.

Si Meta n’est pas la seule entreprise américaine concernée, elle reste de très loin la plus observée par les Cnils européennes.

Elle assure que l’envoi de données aux Etats-Unis est indispensable pour le fonctionnement de ses outils publicitaires, notamment pour mesurer l’efficacité des campagnes sur ses propres plateformes et sur les sites Internet utilisant le Meta Pixel.

Une invalidation du DPF l’aurait contraint de revoir en profondeur son fonctionnement.