Voilà ce que nous indique un porte-parole du propriétaire de Facebook après notre brief d’hier. « Nous n'avons absolument aucune envie et aucun projet de nous retirer d'Europe, mais la simple réalité est que Meta, et de nombreuses autres entreprises, organisations et services, dépendent des transferts de données entre l’Europe et les États-Unis afin d'exploiter des services mondiaux ».
Or, « comme d'autres entreprises, nous avons suivi les règles européennes et nous nous appuyons sur des clauses contractuelles types et des garanties appropriées pour exploiter un service mondial »
« Fondamentalement, les entreprises ont besoin de règles claires et mondiales pour protéger les flux de données transatlantiques sur le long terme, et comme plus de 70 autres entreprises dans un large éventail de secteurs, nous surveillons de près l'impact potentiel sur nos opérations européennes à mesure que ces développements évoluent ».
Si, selon ce communiqué, Meta n’a pas pour projet de quitter l’Europe, il n’empêche : l’entreprise a bien dessiné ce scénario auprès de la Security and exchange commission, dans ce document officiel.
Ce scénario ne serait en somme pas un choix mais une contrainte née de la réglementation européenne sur le contrôle des transferts de données à caractère personnel d’Europe vers les États-Unis.
Arrêt après arrêt, la Cour de justice de l’UE a élevé le niveau de protection issu du RGPD, poussant les acteurs américains dans ce qui semble être vécu comme une impasse.
Pour que la question de ces transferts puisse être corrigée, il n’y a pas mille solutions. Ou bien Meta s’assure que les mesures offrent le même niveau de protection que celles en vigueur en Europe, même s’agissant des « clauses contractuelles types », l’un des véhicules pour ces transferts de données, face à un droit américain possiblement invasif.
Ou bien Meta déménage ses infrastructures et assure un colmatage complet de ses serveurs avec ce droit, quand bien même serait-il extraterritorial.
Nous avons demandé à Meta en quoi ces règles actuelles ne seraient-elles pas claires et pourquoi l’entreprise n’envisage pas d’opter pour la seconde piste. Nous attendons ses réponses.
Commentaires (37)
#1
Noooon
Ça aurait été trop beau
#2
Meta/Facebook se fout de la gueule du monde.
Ils ne veulent peut-être pas quitter volontairement un territoire très lucratif. ils risquent très fort d’y être contraints. Perso, c’est ce que je souhaite.
#2.1
coute une blinde sans rencontrer le succès escompté ==> jamais plus de cinq ans de vie
les nouvelles générations, millenials en tete mais pas que (vingtenaires, trentenaires meme) sont accros à facebook et instagram, et adorent se redorer l’image dessus. N’oublions jamais que nous avons une forte proportion de la population qui cherche à se hisser dans cette compétition d’égo numérique, et qui n’abandonneront pas leur objectif pour vous mes chatons =)
#3
Le concurrent, Google+, était très bien…. j’ai toujours pas compris pourquoi ça a été arrêté…
#4
dépendent des transferts de données entre l’Europe et les États-Unis..
ils nous prennent, vraiment, pour “des-Canards-sauvages” !
et puis, y-a ça–>
Si, selon ce communiqué, ‘Meta’ n’a pas pour projet de quitter ‘l’Europe’, il n’empêche que
l’entreprise a bel et bien dessiné ce scénario auprès de la ‘Security and exchange commission’,=
voir ce document officiel. .
#5
Parce que c’est un service Google. Tout service Google est mort à plus ou moins court terme
#5.1
Sauf le moteur de recherche, sauf youtube, sauf android, sauf chrome, sauf chrombebook, sauf gmail, sauf google ads, sauf google maps, sauf …. sauf les produits qui fonctionnent en fait
#5.2
Pas encore*
#6
Il y a vraiment quelqu’un qui pensait que Meta pourrait abandonner l’UE ? Sérieusement…
#7
c’est pourtant simple : ils se retranchent derrières leurs clauses contractuelles types mais en droit elles sont inférieures au droit US donc quand bien même ils diraient “les données ne seront pas exploitables par l’état US” le droit prévaut et les rends exploitables
#8
C’est joliment formulé.
Je dirais même « a fini par réfléchir après avoir traîné les pieds à appliquer les lois déjà existantes depuis longtemps »
Parce que bon, sans trop connaître les autres domaines du droit un délai aussi élevé pour se mettre en conformité me scandalise un peu.
#9
Meta ne menace pas de se retirer d’Europe… mais il y sera obligé si rien n’est fait.
Donc c’est plutôt une bonne nouvelle dans les deux cas.
#10
J’aimais bien Google + plus avec la dissociation des Cercles qui permettaient clairement de scinder le contenu publié en fonction d’eux. Mais ça été bouffé par le succès de FB… Qui a repris l’idée d’ailleurs !!!
#11
Non mais c’était trop beau…
Ceci dit ça donne vraiment l’impression qu’ils ont shooté dans la fourmilière et pensaient que ça allaient tourner à leur avantage et puis se sont rendus compte que ça pourrait avoir l’effet inverse non désiré.
#12
C’est beaucoup de bruit pour rien : j’ai pas le temps ni la compétence linguistique pour saisir l’intégralité du document, mais il est bien évoqué (des choses publiques, qui ont déjà eu des articles de presses par ailleurs) les cas singuliers de traitement des données lié à des États avec qui ils se sont adaptés : Russie, Turquie, Inde… il me semblait la Chine, mais je suis pas tombé dessus (et j’ai pas utilisé la fonction recherche, mais je suis tout de même tombé sur l’évocation des 3 premiers).
Donc quand il faut s’adapter, ils s’adaptent : ils investissent et installent une infra locale.
#13
Instagram je veux bien, mais Facebook est bel et bien mort chez les moins de 25 ans.
#13.1
Le vent a à ce point tourné dans la nouvelle génération ?
#13.2
Facebook a beaucoup diminué d’usage, parmi les gens de moins de 25 ans que je connais qui utilisent Facebook (échantillon probablement non représentatif) ça sert pour de « l’administratif » : organiser des événements, chercher un logement ou des bons plans, etc.
Par contre pour « s’amuser » c’est d’autres réseaux sociaux (dont Whatsapp, Messenger, Instagram qui sont aussi Facebook)
Apparemment c’est pas mal en baisse ces derniers temps : https://www.journaldunet.com/media/publishers/1489031-les-reseaux-sociaux-chez-les-16-25-ans-en-2019/
#14
“Or, « comme d’autres entreprises, nous avons suivi les règles européennes et nous nous appuyons sur des clauses contractuelles types et des garanties appropriées pour exploiter un service mondial »
« Fondamentalement, les entreprises ont besoin de règles claires et mondiales pour protéger les flux de données transatlantiques sur le long terme, et comme plus de 70 autres entreprises dans un large éventail de secteurs, nous surveillons de près l’impact potentiel sur nos opérations européennes à mesure que ces développements évoluent ». “
Traduction
“On a profité d’un vide juridique dû au fait que les instances législatives sont structurellement à la bourre par rapport aux potentiels nouveaux usages pour monter notre petit nid douillet avec des lingots d’or. Du coup c’est relou que maintenant les États essayent de rattraper leur retard et mettre un cadre un minimum sérieux pour nous empêcher de faire tout et surtout n’importe quoi, c’est pas gentil.”
#15
Il y a une troisième alternative plus poussée que la seconde s’ils veulent faire du transfert de données. Il faudrait leur proposer de migrer complètement leur infrastructure en Europe et transférer les données des USA vers leur infra en Europe il n’y aurait plus de problème avec le RGPD. Après il faudra voir si les USA estiment que le RGPD est compatible avec le privacy SHIELD dans ce sens.
#15.1
Le Privacy Shield a été invalidé en 2020 (comme le Safe Harbor avant lui)
#16
Alternative : choix entre 2 possibilités.
J’ai déjà parlé de cette possibilité hier. Mais ça reste compliqué à faire en moins de 5 mois, ne serait-ce que pour approvisionner les serveurs.
Ta dernière phrase ne veut rien dire puisque le Privacy Shield ne fonctionnait que dans le sens UE-> USA.
Certains états des USA ont une législation forte au niveau de la protection des données, en particulier la Californie qui s’est inspirée du RGPD, il est probable que le stockage dans l’UE serait compatible avec leurs exigences.
#16.1
il est probable que le stockage dans l’UE serait compatible avec leurs exigences…
(de mémoire) il n’y aurait QUE la “Calif…” qui serait ‘compatible RGPD’ !
(sur 50 ‘Etats’ c’est peu)
#17
Meta n’existe pas officiellement en Chine, pour accéder à leurs services il faut passer par un VPN. Cette action est (officiellement) illégale.
Ils sont peut-être encore accessibles à Hong Kong, mais ça serait à vérifier…
#18
Oui je ne voulais pas parlé du privacyshied qui était l’accord EU/USA mais du cloud act.
C’est le cloud act qui pose problème vis à vis du RGPD. Et le cloud act s’applique à tous les états donc même si un état est un peu plus strict sur la manipulation des données cela ne l’affranchit pas du cloud act. Donc le problème de transfert des données reste le même.
#18.1
Quand je relis l’article de Wikipedia sur le Cloud Act, je n’y vois pas forcément de problème par rapport au RGPD.
Pour appliquer le Cloud Act, il faut : un mandat et de l’autorisation d’un juge pour accéder aux données hébergées dans les serveurs informatiques situés dans d’autres pays, au nom de la protection de la sécurité publique aux États-Unis et de la lutte contre les infractions les plus graves dont les crimes et le terrorisme.
Dans de telles conditions, le RGPD autorise les états à accéder aux données personnelles. Il y a intervention d’un juge et c’est limité aux cas graves. En France, il n’y a pas besoin de l’intervention d’un juge dans certains cas, mais juste de l’autorité chargée du contrôle pour l’espionnage.
#19
Je pense que tu n’as pas lu le chapitre ‘Critique’ sur wikipédia dont voici un très court extrait :
“Le Cloud Act pourrait permettre l’espionnage industriel, voire le vol de la propriété intellectuelle. Cette législation américaine s’impose aux GAFAM comme aux entreprises étrangères (ex. : Orange, Altice) ayant une activité aux États-Unis2. Cela crée un risque de souveraineté sur des données sensibles. A titre exemple, les données de santé françaises sont hébergées par Microsoft et le gouvernement français envisage de les rapatrier vers un opérateur de services français ou européen17. “
#19.1
Si, j’ai lu.
Je ne parle ici que du cas de Meta, je ne vois rien d’incompatible avec le RGPD. Contrairement, à ce qui est dit dans le paragraphe “Critiques”, il y a bien intervention d’un juge (des USA certes, mais ça protège quand même plus que pas de juge pour récupérer les données des européens stockés aux USA). Et comme je l’ai déjà dit, c’est pour des cas graves.
Et les cas d’espionnages industriels ne passeront probablement pas le filtre d’un juge.
L’intérêt que je vois au Cloud Act, c’est que l’on peut passer un accord de réciprocité avec les USA et pouvoir demander la même chose aux sociétés établies en France pour des données stockées aux USA.
#20
« Meta ne menace pas de se retirer d’Europe »
Dommage !
ps : pas encore lu l’article^^
#20.1
j’avoue, l’art de jouer les rabat-joies après une news réjouissante…
#21
Mince, maintenant que leur câble transatlantique est bien arrivé à Bordeaux, ils se posent la question de son utilité ?
#22
Ces déclarations contraires c’est de la méta-philistique. Comme d’habitude.
#23
Lire/écrire du texte structuré en phrases et paragraphes, c’est un truc de vieux.
La nouvelle génération est en full “o”: texto, photo, vidéo.
Bref, le web moderne est dans un format 3 minutes max. D’ailleurs tu remarqueras le nombre de site web qui te disent à l’avance combien de temps ca va te prendre de lire/voir un contenu.
#24
Cela fait cinq ans que le RGPD est entré en vigueur, et Meta ne sait pas comment le mettre en application ? Ils se moquent vraiment du monde. On peut s’étonner que la bourse américaine n’ait pas réagi à leurs menaces de quitter l’UE encore plus sérieusement que la perte de revenus sur accessoires iOS. Le problème du traitement des données personnelles pour la mise en place de publicité contextuelle reste fondamentalement le même, à ceci près qu’Apple l’impose techniquement, alors que l’UE l’impose légalement.
#25
Tu as mal compris le problème.
Le problème n’est pas directement le RGPD dans sa publication initiale, mais l’annulation du Protect Shield (juillet 2021) qui avait été validé auparavant comme solution par la commission de l’UE et la probable interdiction d’utiliser les clauses contractuelles par la CNIL Irlandaise au premier semestre 2022.
Cela fait tomber des protections qu’utilisait META pour être en règle avec le RGPD.
Il s’agit pour ce sujet uniquement de l’absence de protection des données personnelles des ressortissants de l’UE vis-à-vis du “gouvernement” des USA (au sens large).
#25.1
Tout ceci a été largement dévoilé par Snowden dès 2013, doublé de lois extraterritoriales américaines, qui ont ébranlé la confiance des régulateurs européens. Le RGPD prévoit, depuis 2016, des amendes suffisamment sévères pour ne pas être pris à la légère.
Ce qui est surprenant, c’est que Meta n’ait pas été pro-actif, en isolant les territoires. En outre, je ne vois pas bien l’intérêt d’avoir un traitement centralisé au niveau mondial juste pour pister les utilisateurs en vue de publicités ciblées, puisque c’est ce qui semble poser problème ici.
Qui plus est, l’Union européenne n’est pas la seule à user de prétextes pour assoir une forme de protectionnisme. À l’ère du « cloud », où les serveurs physiques sont de plus en plus virtualisés, les traitements peuvent en principe se faire partout.
Il est étonnant que Meta ait si mal anticipé les soucis dans les accords internationaux, au point de déclarer un risque majeur (quitter le territoire de l’UE) à la SEC.
#26
Le Privacy Shiel a été invalidé en juillet 2021, il est donc normal que Meta annonce le risque qui en découle dès qu’elle a a le faire auprès de la SEC, c’est à dire en décembre de la même année.
Et tu en rajoutes en remontant maintenant à 2013 !
En plus, tu ne te rends pas compte que le problème ne touche pas que Meta, puisque google analytics est maintenant touché pour les mêmes raisons.
Et ce n’est sûrement pas fini.
Je n’aime pas Meta, mais si l’on est objectif, il est assez normal qu’ils n’aient rien fait avant mi 2021 : il n’y avait pas de risque clair. Et ils ont ensuite commencé par une bataille juridique en Irlande sur la fin 2021, ce qui coûte quand même moins cher que migrer des serveurs dans l’UE avec tout ce que cela entraîne aussi pour le reste du monde.