“Je suppose que Meta va devoir envisager une forme de géolocalisation si elle veut continuer à opérer dans l’UE”, déclare Calli Schroeder, conseillère mondiale en matière de confidentialité à l’Electronic Privacy Information Center, une organisation à but non lucratif de recherche sur les droits numériques. organisme. Schroeder, qui travaillait auparavant avec des entreprises sur les transferts de données internationaux, affirme que cette approche pourrait signifier que Meta devrait créer ses propres serveurs et centres de données dans l’UE qui ne sont pas connectés à ses bases de données plus larges.
Harshvardhan Pandit, chercheur en informatique au Trinity College de Dublin qui étudie le RGPD, déclare que, comme les autorités chargées des données examinent toujours le cas de Meta et qu’une décision finale n’a pas encore été publiée, elles pourraient inclure plusieurs mises en garde ou étapes que Meta devrait prendre tomber en ligne. Par exemple, une décision récente en matière de protection des données en Europe a accordé un délai de six mois à une entreprise pour apporter des modifications à son activité.
“Je pense que la solution la plus pragmatique serait pour eux de créer l’infrastructure européenne, comme Google ou Amazon, qui ont pas mal de centres de données ici”, dit Pandit, ajoutant que Meta pourrait également introduire plus de cryptage dans la façon dont il stocke les données et maximiser combien il garde dans l’UE. Toutes ces mesures seraient cependant coûteuses. Jack Gilbert, directeur et avocat général associé chez Meta, déclare que le problème “est en train d’être résolu”. Facebook n’a pas répondu spécifiquement aux questions sur son projet de répondre à la décision irlandaise.
Les responsables européens ont statué à deux reprises que les systèmes mis en place pour partager des données entre l’UE et les États-Unis ne protégeaient pas correctement les données des personnes – les plaintes sont en cours depuis le début des années 2010. Les tribunaux européens ont jugé que les accords internationaux de partage de données n’étaient pas à la hauteur d’abord en 2015, puis à nouveau en juillet 2020, lorsque l’accord Privacy Shield a été jugé illégal.
“Tout ce que l’UE demande lorsque des organisations transfèrent des données vers d’autres pays, c’est de protéger ces données conformément au RGPD”, déclare Nader Henein, vice-président de la recherche spécialisé dans la confidentialité et la protection des données chez Gartner. “Le problème est que les lois américaines qui protègent les données des “étrangers non résidents” sont terriblement insuffisantes et rendent très difficile pour des organisations comme Facebook de se conformer à la législation locale et au RGPD.”
Bien que Meta soit au centre de la plainte la plus médiatisée, ce n’est pas la seule entreprise touchée par un manque de clarté sur la manière dont les entreprises européennes peuvent envoyer des données aux États-Unis. “Le problème de transfert de données n’est pas spécifique à Meta”, a déclaré David Wehner, directeur de la stratégie de Meta, lors d’un appel aux résultats en juillet. “Cela concerne la manière dont les données sont généralement transférées pour toutes les entreprises américaines et européennes dans les deux sens vers les États-Unis.”
Les impacts de la décision de juillet 2020 de supprimer le Privacy Shield se font désormais sentir. Depuis janvier de cette année, plusieurs régulateurs de données européens ont statué que l’utilisation de Google Analytics, le service de surveillance du trafic de l’entreprise pour les sites Web, enfreint le RGPD. Les autorités danoises sont allées encore plus loin : les écoles ne peuvent pas utiliser les Chromebooks sans que des restrictions ne soient mises en place. “Il existe une tonne d’incertitude juridique et un risque de non-conformité important”, déclare Gabriela Zanfir-Fortuna, vice-présidente de la confidentialité mondiale au Future of Privacy Forum, un groupe de réflexion à but non lucratif.
