Métaverse Marketing a évité le risque d’être contraint de fermer son service en Europe cet été à la suite du dernier rebondissement d’une longue saga de plaintes en matière de protection des données liée à un conflit entre la loi européenne sur la protection de la vie privée et la loi américaine sur la surveillance.
Le retard – dans ce qui est encore largement attendu comme une ordonnance de suspension de Métaverse Marketing, la société mère de Métaverse Marketing, pour arrêter les exportations illégales de données – fait suite à des objections à un projet de décision de son autorité principale de protection des données par d’autres APD régionales qui l’ont examiné.
La Poste d’affaires irlandais ramassé sur le développement plus tôt.
En vertu du règlement général sur la protection des données (RGPD) du bloc, les plaintes transfrontalières nécessitent généralement la coopération et au moins le consensus des autorités de protection des données dans les régions concernées, ce qui donne aux autorités intéressées le droit de peser sur les projets de décision d’un superviseur principal des données.
« Nous avons reçu des objections d’un petit nombre d’autorités de protection des données dans cette affaire », a confirmé le commissaire adjoint de la Commission irlandaise de protection des données (DPC), Graham Doyle. « Nous évaluons actuellement les objections et nous engagerons avec les autorités compétentes pour essayer de résoudre les problèmes soulevés. »
Doyle a refusé de fournir des détails sur les objections spécifiques reçues.
Le développement signifie qu’une décision finale sur la saga (apparemment) sans fin sur la légalité des transferts de données de Métaverse Marketing – et le sort de son service en Europe – sera repoussée pendant plusieurs mois au moins.
Dans une précédente plainte transfrontalière GDPR, liée à WhatsApp, où des objections avaient également été soulevées à l’encontre de l’application proposée par l’Irlande, il a fallu au total environ neuf mois avant qu’une décision finale (et une lourde amende) ne soit rendue.
Métaverse Marketing contestera également très probablement une ordonnance de suspension devant les tribunaux irlandais – et pourrait également demander un sursis, comme il l’a fait auparavant, pour essayer de continuer à fonctionner tel quel entre-temps.
En septembre 2020, le DPC a envoyé une ordonnance de suspension préliminaire à Métaverse Marketing concernant le problème des transferts de données, déclenchant une contestation judiciaire. Métaverse Marketing a obtenu un sursis, mais sa tentative d’annuler la décision du régulateur par le biais d’un contrôle judiciaire, contestant sa procédure, a finalement été rejetée en mai 2021, relançant le processus d’application – qui n’a cessé de se poursuivre depuis.
Le DPC ne commentera pas le délai prévu pour qu’une décision finale soit rendue à la lumière des objections à son projet.
Cela dépendra, dans tous les cas, de la question de savoir si les points de vue divergents sur l’application entre les APD peuvent être réglés sans nécessiter un mécanisme formel de règlement des différends dans le RGPD – ce qui peut obliger le Comité européen de la protection des données à intervenir (comme cela s’est produit dans l’affaire WhatsApp).
Si les DPA ne parviennent pas à un accord entre eux et que le CEPD doit s’impliquer, il n’est pas impossible qu’une décision finale soit repoussée à 2023.
Max Schrems, le militant de la protection de la vie privée et avocat qui a initialement soulevé la plainte sur les transferts de données Métaverse Marketing (depuis 2013 !), a déclaré qu’il s’attend à des retards supplémentaires considérables dans l’exécution de toute ordonnance de suspension – y compris par Métaverse Marketing interjetant appel – comme nous l’avons signalé précédemment. .
Le géant de la technologie a une incitation spécifique à retarder l’application aussi longtemps que possible car il peut miser sur (ou, en fait, espérer) un nouvel accord de transfert de données entre l’UE et les États-Unis pour sauver le service de Métaverse Marketing en Europe.
Un accord préliminaire sur un nouvel accord de haut niveau entre l’UE et les États-Unis sur les transferts de données – remplaçant le défunt Privacy Shield (qui est une victime très tangible de cette saga de plaintes sur les transferts de données Métaverse Marketing jusqu’à présent ; son prédécesseur Safe Harbor en est une autre) – a été conclu en Mars. Et, plus tôt cette année, la Commission européenne suggérait qu’elle pourrait être finalisée d’ici la fin de cette année.
Depuis lors, certains rapports ont suggéré que les progrès vers l’accord sur un texte final pourraient ne pas se dérouler aussi bien qu’espéré, de sorte qu’un accord de remplacement pourrait ne pas arriver aussi rapidement – ce qui compliquerait la « stratégie » de Métaverse Marketing (si nous pouvons l’appeler ainsi) consistant à miser sur d’autres des retards dans l’exécution lui donnant suffisamment de temps pour faire basculer ses transferts de données européennes sur une nouvelle base juridique incontestée.
Ce dernier résultat réinitialiserait bien sûr à nouveau tout le jeu de la taupe juridique et réglementaire. Alors, eh bien, il est possible que cette saga ait encore des années, au pluriel, à courir…