L’autorité irlandaise de protection des données (DPC) a ouvert une enquête qui pourrait contraindre Facebook à mettre un terme au transfert de données depuis l’UE vers les États-Unis. Selon la DPC, les « Standard Contractual Clauses » (SCC) sur lesquelles Facebook s’appuie ne peuvent pas être utilisées pour le transfert de données entre l’UE et les États-Unis. Facebook a annoncé qu’il ferait appel de la décision de la DPC.
Ce point fait suite à un récent arrêt de la Cour de justice européenne, qui a invalidé le « Privacy Shield ». Ce « bouclier de protection des données » est le principal instrument qui régit le transfert de données entre l’UE et les États-Unis. Selon la Cour, la sécurité des données à caractère personnel n’est pas garantie. Les résidents de l’UE sont en effet dans l’impossibilité d’aller devant les tribunaux des États-Unis s’ils estiment que leurs données sont traitées de manière illégitime par le gouvernement américain. Les services de sécurité américains peuvent trop facilement accéder aux données des Européens.
La Commission européenne et le département américain du Commerce discutent depuis le mois dernier des ajustements à apporter au Privacy Shield, afin qu’il réponde aux exigences de la Cour. Il pourrait toutefois se passer des mois avant que cette affaire ne soit tirée au clair.
Dans l’intervalle, le Comité européen de la protection des données (EDPB), où siègent des représentants de toutes les autorités nationales de protection des données, a constitué deux groupes de travail pour étudier plus en profondeur la question du transfert des données entre l’UE et les États-Unis.