par L’autorité autrichienne de protection des données a constaté que l’utilisation des technologies de suivi de Meta enfreignait la législation européenne sur la protection des données, car des données personnelles étaient transférées aux États-Unis, où les informations risquaient d’être surveillées par le gouvernement.
La conclusion découle d’une série de plaintes déposées par le groupe européen de défense des droits à la vie privée noyb, en août 2020, qui ciblait également l’utilisation de Google Analytics par les sites Web sur le même problème d’exportation de données. Un certain nombre d’autorités de protection des données de l’UE ont depuis conclu que l’utilisation de Google Analytics était illégale – et certaines (comme la CNIL française) ont émis des avertissements contre l’utilisation de l’outil d’analyse sans garanties supplémentaires. Mais c’est la première découverte que la technologie de suivi de Facebook a enfreint le règlement général sur la protection des données (RGPD) de l’UE.
Toutes les décisions font suite à une décision de juillet 2020 du plus haut tribunal de l’Union européenne qui a annulé l’accord de haut niveau sur le transfert de données du bouclier de protection des données UE-États-Unis après que les juges ont de nouveau identifié un conflit fatal entre les lois américaines sur la surveillance et les droits à la vie privée de l’UE. (Une découverte similaire, en 2015, a invalidé le prédécesseur de Privacy Shield : Safe Harbor.)
noyb qualifie de “révolutionnaire” la dernière découverte de violation de transfert de données par un DPA de l’UE – arguant que la décision de l’autorité autrichienne devrait envoyer un signal aux autres sites qu’il n’est pas conseillé d’utiliser des Meta trackers (la plainte concerne Facebook Login et le Meta pixel).
La décision concerne l’utilisation des outils de suivi de Meta par un site Web d’actualités locales (son nom est supprimé de la décision) à partir d’août 2020 – que le site en question a cessé d’utiliser peu de temps après le dépôt de la plainte. Cependant, la décision pourrait avoir des implications beaucoup plus larges pour l’utilisation de la technologie de Meta, compte tenu de la quantité de données personnelles traitées par le géant de la technologie publicitaire. Ainsi, bien que la découverte d’infraction ne concerne qu’un seul des sites noyb ciblés dans ce lot de plaintes stratégiques, il y a des implications pour des scores supplémentaires et – potentiellement – pour tout site de l’UE qui utilise encore les outils de suivi de Meta étant donné l’incertitude juridique persistante autour des données UE-États-Unis. transferts.
« Facebook a prétendu que ses clients commerciaux pouvaient continuer à utiliser sa technologie, malgré deux arrêts de la Cour de justice disant le contraire. Maintenant, le premier régulateur a dit à un client que l’utilisation de la technologie de suivi de Facebook était illégale », a déclaré Max Schrems, président de noyb.eu, dans un communiqué.
« De nombreux sites Web utilisent la technologie de suivi de Facebook pour suivre les utilisateurs et afficher des publicités personnalisées. Lorsque les sites Web incluent cette technologie, ils transmettent également toutes les données des utilisateurs à la multinationale américaine, puis à la NSA. [US National Security Agency]. Alors que la Commission européenne vise toujours à publier le troisième accord de transfert de données entre l’UE et les États-Unis, le fait que la législation américaine autorise toujours la surveillance en masse signifie que cette question ne sera pas résolue de sitôt », suggère en outre noyb dans un communiqué de presse.
Pour sa part, Meta a réagi à la nouvelle en cherchant à minimiser l’importance de la décision de l’APD autrichienne. Dans un communiqué, un porte-parole de l’entreprise a affirmé que la conclusion était “basée sur des circonstances historiques” – et a suggéré qu’elle “n’affecte pas la façon dont les entreprises peuvent utiliser nos produits”. Voici sa déclaration dans son intégralité:
Cette décision est basée sur des circonstances historiques et ne concerne qu’une seule entreprise dans le cadre de son utilisation de Facebook Pixel et Facebook Login un seul jour en 2020. Bien que nous ne soyons pas d’accord avec de nombreux aspects de la décision, cela n’a pas d’incidence sur la façon dont les entreprises peuvent utiliser nos produits. Cette affaire découle d’un conflit entre le droit de l’UE et celui des États-Unis, qui est en passe d’être résolu.
Dans la décision de 46 pages [NB: the link is to a machine translated (non-official) English version] l’APD autrichienne expose son raisonnement pour conclure que l’utilisation par un site local des outils de suivi Meta a enfreint les exigences du RGPD sur les transferts de données, notant que le règlement exige que les données sur les utilisateurs de l’UE soient protégées de manière adéquate si elles sont transférées hors du bloc, vers des soi-disant pays tiers (comme les États-Unis). Pourtant, il a constaté qu’aucune des protections possibles pour ces exportations de données (telles qu’une décision d’adéquation) n’était appliquée dans ce cas, déterminant ainsi que l’article 44 du RGPD (sur les transferts de données) avait été violé.
Un autre élément clé de la décision est que les données collectées par les technologies de suivi de Meta – qui comprennent un grand nombre de points de données, y compris l’adresse IP, l’identifiant de l’utilisateur, les données du système d’exploitation mobile et du navigateur, la résolution de l’écran, les données des cookies Facebook et bien plus encore – constituent des informations personnelles. données en vertu du droit de l’UE.
« Suite à la mise en place de Facebook Business Tools, des cookies ont été installés sur [the] terminal du plaignant… qui contiennent une valeur unique, générée aléatoirement… Cela permet d’individualiser le terminal du plaignant et d’enregistrer le comportement de navigation du plaignant afin d’afficher une publicité personnalisée adaptée », explique la DPA. « Indépendamment de cela, au moins Meta Ireland a eu la possibilité de lier les données reçues grâce à la mise en œuvre de Facebook Business Tools sur [the] compte Facebook du plaignant. Il ressort clairement des conditions d’utilisation de Facebook Business Tools… que Facebook Business Tools est utilisé, entre autres, pour échanger des informations avec Facebook.
Certaines modifications que Meta a apportées à ses conditions générales de transfert de données peu de temps après le dépôt des plaintes de noyb ont précédé cette action – elles sont donc arrivées trop tard pour affecter le résultat.
Cependant, noyb suggère que de tels ajustements et/ou mesures supplémentaires seraient peu susceptibles de faire une différence étant donné que les données personnelles restent accessibles à Meta (et peuvent donc être transmises aux agences de sécurité américaines) – ainsi, par exemple, l’option de mettre en œuvre ” zéro le chiffrement de la connaissance, c’est-à-dire comme mesure supplémentaire pour augmenter le niveau de protection des données, n’est pas disponible pour un géant de l’adtech dont le modèle économique repose sur le suivi et le profilage des internautes en traitant leurs données.
“La DPA a déjà constaté dans la décision de Google que de tels éléments ne peuvent pas surmonter la loi américaine”, a déclaré Schrems à TechCrunch lorsque nous avons posé des questions sur les modifications apportées par Meta à ses conditions de transfert de données après les plaintes de noyb, ajoutant : “Je suppose que cela ne mènerait nulle part étant donné la jurisprudence ».
La décision de la DPA fait directement référence aux propres rapports de transparence de Meta, dans lesquels elle enregistre les demandes de données du gouvernement – qui, selon elle, montrent que “le groupe Meta reçoit régulièrement des demandes d’accès aux données des autorités secrètes américaines”, précisant en outre “les demandes d’accès aux données concernent également les utilisateurs de L’Autriche”. En plus des informations de base sur les abonnés, il indique que les demandes peuvent demander des enregistrements liés à l’activité du compte et au contenu stocké, tels que des messages, des photos, des vidéos, des entrées de chronologie et des informations de localisation.
Zoom arrière, alors que les négociateurs de l’UE et des États-Unis ont provisoirement convenu d’un pacte de transfert transatlantique de données de remplacement – qu’ils appellent le cadre de confidentialité des données UE-États-Unis (DPF) – cette troisième étape de la résolution du schisme de transfert de données n’est pas encore opérationnelle car elle doit encore être examinée par d’autres institutions de l’UE avant que la Commission ne puisse l’adopter formellement.
Cela signifie qu’il y a encore un trou béant dans le régime juridique régissant les transferts de données entre l’UE et les États-Unis – un trou qui pourrait rester débranché pendant plusieurs mois encore (en décembre, la Commission a suggéré que le DPF ne serait pas en place avant juillet).
De plus, même si (ou quand) le nouveau cadre de transfert de données UE-États-Unis est adopté par l’UE, il est fort probable qu’il soit confronté au même défi fondamental qui a frappé ses prédécesseurs, étant donné que les programmes américains de surveillance de masse n’ont pas été réformés. Cela soulève des doutes quant à la survie à long terme du cadre de remplacement prévu – de sorte que l’incertitude juridique dans ce domaine est à peu près une donnée, quoi qu’il arrive à court terme.
noyb soutient que la seule solution à long terme à ce problème est soit une réforme de la loi américaine sur la surveillance pour fournir «des protections de base aux étrangers pour soutenir leur industrie technologique». Ou la localisation des données, ce qui signifie que les fournisseurs américains seraient obligés d’héberger des données étrangères en dehors du pays. Et nous assistons à des mouvements dans cette direction (comme de TikTok, qui fait l’objet d’un examen encore plus minutieux que Facebook sur les questions liées à la sécurité nationale).
Il n’est pas clair si la localisation des données est en grande partie une solution aux problèmes de Meta (ou même de TikTok), étant donné que les utilisateurs d’exploration de données sont au cœur de leur modèle commercial de ciblage publicitaire. (“Il est bien connu qu’en raison de son système basé aux États-Unis, Meta est catégoriquement incapable de garantir que les données des citoyens européens ne sont pas interceptées par les agences de renseignement américaines”, suggère noyb.)
Dans l’intervalle, une décision finale sur l’opportunité de suspendre les transferts de données UE-États-Unis de Meta reste en attente de son principal DPA de l’UE, la Commission irlandaise de protection des données.
C’est donc vraiment au fil sur lequel viendra en premier: un nouveau sparadrap de transferts de données UE-États-Unis – qui réinitialiserait les défis juridiques et achèterait à Meta un nouveau cycle de répit opérationnel en Europe – ou un ordre final de la DPA pour arrêter transférer les données des utilisateurs de l’UE sur l’étang. Bien que, dans ce dernier cas, Meta ferait certainement appel d’une ordonnance de suspension – le résultat le plus probable est donc que Meta pourra encore une fois lancer la boîte sur la route et que les défenseurs européens de la vie privée devront se préparer pour une nouvelle série de contestations judiciaires. , en espérant que la CJUE sera encore plus rapide à appuyer sur la gâchette cette fois.
Les autorités de protection des données de l’UE ont fait preuve d’une extrême réticence à appliquer la loi sur les transferts de données, traînant des pieds lorsqu’il s’agissait de donner suite à la décision de la Cour de justice de juillet 2020 annulant le bouclier de protection des données, par exemple. Ainsi, le même scénario pourrait bien se répéter la prochaine fois, créant un cycle de violation de la loi qui n’est presque jamais appliqué – et une parodie où les droits fondamentaux des utilisateurs de l’UE devraient être.
Les 101 plaintes de noyb ont été déposées il y a plus de deux ans et demi – et ce n’est que la première décision liée aux outils de suivi de Facebook. Interrogé sur ce qui s’est passé avec le reste, Schrems nous a répondu : « Nous attendons toujours tous les autres. Nous ne savons pas pourquoi Google [Analytics] les affaires sont allées plus vite, mais nous supposons que la DPA irlandaise a joué un rôle plus important dans les affaires Facebook.
La DPA irlandaise reste la cible de vives critiques sur son approche de l’application du RGPD sur les Big Tech – avec des cas qui s’accumulent sur son bureau et des résultats éventuels souvent critiqués comme décevants.
Un autre problème mis en évidence par noyb concerne l’absence d’une sanction prononcée parallèlement à la constatation d’infraction de l’APD autrichienne. Ainsi, même s’il y a une violation, il n’y a toujours aucune conséquence tangible pour le site qui a enfreint la loi en s’appuyant sur la technologie de Meta. “Il n’y a aucune information si une sanction a été prononcée ou si le [Austrian authority] prévoit également d’émettre une pénalité. Le RGPD prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial dans de tels cas, mais les autorités de protection des données ne semblent pas disposées à infliger des amendes, bien que les contrôleurs aient ignoré deux décisions de la CJUE pendant plus de deux ans », écrit-il.
“L’APD autrichienne n’émet jamais d’amendes dans les procédures de plainte, car il existe une unité distincte en charge des amendes”, explique Schrems. “Il s’agit d’une approche très problématique, qui conduit à des ‘doubles procédures’ et à un très faible nombre d’amendes.”
Toutes ces questions alimenteront les arguments selon lesquels le cadre phare de protection des données de l’UE ne fait pas ce qu’il dit sur l’étain – ce qui augmentera la pression sur les législateurs de la Commission pour, sinon une réforme dure du RGPD, du moins une surveillance efficace, grâce à une bonne contrôle de la manière dont le règlement est appliqué au niveau des États membres.
Cela semble nécessaire si les législateurs du bloc veulent continuer à être en mesure de vendre un régime de réglementation numérique de plus en plus large et profond (interconnecté) qui revendique fréquemment la protection des données comme fondement fondamental pour des niveaux plus élevés de traitement et de partage des données. Autrement dit, la protection des données ne peut pas seulement exister sur papier ; les gens ont besoin de voir que leurs informations sont réellement protégées.
