Un mois pour que les autorités de protection des données européennes se prononcent sur les transferts de données de Facebook entre l'UE et les États-Unis

07 Juil 2022

Les APD européennes reçoivent la décision du CPD irlandais concernant le transfert de données de Facebook

Comme le DPC en a informé les journalistes, il a publié aujourd'hui un projet de décision en vertu de l'article 60 du GDPR, concernant les transferts de données de Facebook (Meta) entre l'UE et les États-Unis à la lumière de la loi FISA 702 et des révélations de Snowden. Le projet de décision fait partie de la procédure "d'office" que le DPC a lancée parallèlement à la plainte initiale de Max Schrems. noyb a accepté de ne pas divulguer les détails de cette procédure spécifique et ne peut donc commenter que les informations connues du public.

Pas d'arrêt imminent. Le projet de décision de la DPC n'entraînera pas un arrêt immédiat des transferts de données. En fait, le projet de décision déclenchera la procédure prévue à l'article 60 du GDPR, donnant aux autres autorités de protection des données ("DPA") un mois pour commenter la décision. Habituellement, d'autres autorités européennes de protection des données s'opposent aux décisions importantes prises par le CPD. Cela déclenche alors une procédure en vertu de l'article 65 du GDPR, avec un vote sur la décision finale.

Max Schrems :"Nous nous attendons à ce que d'autres DPA émettent des objections, car certaines questions majeures ne sont pas traitées dans le projet du DPC. Cela conduira à un autre projet, puis à un vote. Dans d'autres cas, cela a pris une année supplémentaire au total, car le CPD n'a pas mis en œuvre les commentaires des autres APD volontairement et a pris plus de six mois pour transmettre le dossier pour un vote."

Deux ans après la décision de la CJUE, neuf ans après le début de la procédure. L'affaire initiale introduite par Max Schrems en 2013 devait être menée "parallèlement" à une affaire nouvellement ouverte "de sa propre initiative". Le projet de décision ne concerne que l'"autodétermination". La procédure de plainte n'a pas été transmise à l'EDPB. On ne sait pas ce qu'il est advenu de l'affaire initiale à ce stade, car le CPD ne communique généralement pas les détails de ces affaires à noyb.

Max Schrems :"Notre procédure de plainte initiale a été divisée en deux procédures : une procédure de plainte et une deuxième procédure d'office. Nous avons demandé au CPD de nous faire part de ses commentaires sur ce qu'il est advenu de la procédure de plainte. Globalement, la procédure de plainte est en suspens depuis 9 ans maintenant, sans même un projet de décision jusqu'à présent."

Pas d'amende - malgré 9 ans de transferts illégaux de données ? Une question majeure de la procédure sera de savoir si seuls les transferts de données à venir doivent être interdits, ce que Facebook / Meta vont combattre devant les tribunaux irlandais pendant des années, ou si toute décision finale inclura également une amende pour les transferts de données illégaux des années passées.

Max Schrems :"Facebook va utiliser le système juridique irlandais pour retarder toute interdiction effective des transferts de données. L'Irlande devra envoyer la police pour couper physiquement les cordons avant que ces transferts ne cessent réellement. Ce qui serait pourtant facile à faire, c'est une amende pour les années passées, où la CJEU a clairement dit que les transferts étaient illégaux. Il est étrange que le CPD semble " oublier " la seule sanction efficace dans ce cas. On pourrait avoir l'impression que le CPH veut simplement faire tourner cette affaire en rond encore et encore."