Chaque jour, la libre circulation des données au-delà des frontières permet à des milliards d’utilisateurs de rester connectés, à des millions de petites entreprises de faire du commerce à l’international et à d’innombrables employés confinés de continuer à travailler ensemble. Cette libre circulation des données permet d’assurer de nombreux services qui sont essentiels à notre vie quotidienne. Elle est également à la base de l’économie mondiale. Cela signifie qu’une petite start-up allemande dans le domaine des nouvelles technologies peut utiliser un fournisseur de services cloud situé aux États-Unis. Une société espagnole de développement de produits peut mener ses activités sur plusieurs fuseaux horaires. Un détaillant français peut maintenir un centre d’appels au Maroc. Des millions de personnes peuvent rester en contact avec des amis et des membres de leur famille qui vivent dans des pays différents grâce à des logiciels de vidéoconférence. Ces transferts internationaux de données soutiennent également des services publics essentiels tels que la santé et l’éducation.
Nos services internationaux ont été conçus pour vous connecter aux personnes, aux lieux et aux choses que vous aimez, et ce, peu importe où ils se trouvent dans le monde. Les contenus que vous pouvez consulter à travers nos services ne sont pas figés comme peut l’être une page internet classique ; ils sont constamment mis à jour. Par exemple, lorsque vous utilisez Facebook sur votre téléphone, vous pouvez, grâce à votre fil d’actualité, voir les dernières publications de vos amis qui habitent à New York et à Dublin, lire les commentaires de la page d’une petite entreprise basée en Italie, ou encore participer à des discussions dans des groupes avec des utilisateurs du monde entier. Ces contenus sont en fait une sélection dynamique d’informations qui changent constamment et ne tiennent pas compte des frontières internationales. Pour fonctionner, tout cela requiert une circulation d’informations constante et internationalisée, afin de favoriser les connexions qui rendent votre expérience sur Facebook unique et personnalisée.
Ces informations sont interconnectées ; nous ne pouvons donc pas les diviser en silos selon les régions. Nos services ont été conçus pour être globalisés, et s’appuient sur une infrastructure internationale de pointe que nous avons mis plus d’une décennie à construire. C’est pourquoi nous avons besoin de transferts de données fluides et mondialisés pour proposer nos services.
Les transferts de données internationaux entre l’Union européenne et les États-Unis ont récemment fait l’objet de litiges et de mesures réglementaires, avec notamment une décision juridique rendue en juillet dernier par la Cour de justice de l’Union européenne (CJUE). La CJUE avait invalidé le Privacy Shield entre les Etats-Unis et l’Union européenne, un mécanisme juridique encadrant les transferts de données transatlantiques, en raison de préoccupations concernant la question de savoir si les lois américaines en matière de surveillance offraient aux utilisateurs de l’Union européenne les protections garanties par le droit de l’Union. Comme beaucoup d’entreprises – petites et grandes – Facebok s’appuie sur les clauses contractuelles types pour transférer des données vers des pays en dehors de l’Union européenne, notamment aux Etats-Unis. Depuis cette décision juridique, Facebook a travaillé pour respecter les mesures fixées par la Cour pour pouvoir continuer de transférer des données de façon sûre et sécurisée, conformément au Règlement général sur la protection des données (RGPD).
Nous souhaitons expliquer plus en détail nos engagements envers nos utilisateurs de l’Union européenne pour assurer la sécurité et la sûreté de leurs informations lorsqu’elles sont transférées vers les États-Unis. Nous voulons également apporter des précisions sur les politiques en place qui régissent l’évaluation et la réponse aux demandes des autorités. Nous apportons également des réponses aux questions les plus fréquemment posées pour en savoir plus.
Assurer la sécurité de vos données
Pour assurer la sécurité de vos données lorsqu’elles sont transférées depuis l’Union européenne ou l’Espace économique européen vers les États-Unis, nous nous appuyons sur les clauses contractuelles types, un outil approuvé par la Commission européenne qui offre un certain nombre de garanties juridiques importantes et dont la validité a été confirmée par la CJUE.
De nombreuses autres mesures sont également prises pour protéger vos données :
- Chiffrement et sécurité : nous prenons toute une série de mesures pour protéger vos données. Nous mettons en œuvre un programme de sécurité complet, comprenant des mesures telles que le chiffrement lorsque les données sont en transit, afin de protéger les données des utilisateurs à n’importe quel moment. Nous adaptons et améliorons notre sécurité pour anticiper l’évolution des risques et des menaces pour la sécurité auxquels nous sommes confrontés.
- Aucun accès pour les autorités par des portes dérobées : nous ne fournissons à aucune autorité un accès direct ou une porte dérobée aux données chiffrées. Nous considérons qu’affaiblir intentionnellement nos services de cette manière porterait atteinte à la sécurité nécessaire à la protection de nos utilisateurs.
- Des politiques robustes : nous avons mis en place de longue date des politiques détaillées qui régissent nos méthodes d’évaluation et de réponses aux demandes des autorités en matière de données d’utilisateurs. Notre méthode consiste à examiner chacune des demandes, à y répondre de manière adaptée dès lors qu’elles sont valides en partageant les informations strictement nécessaires pour y répondre.
- Défendre nos utilisateurs : lorsque les demandes des autorités ne remplissent pas les conditions applicables (par exemple, trop générales ou insuffisantes sur le plan juridique), nous les rejetons et invitons les autorités à remédier à toute non-conformité apparente. Si besoin, nous pouvons contester ou rejeter les demandes illégales des autorités. Nous pouvons également contester tout arrêté qui nous obligerait à reconcevoir nos systèmes d’une manière qui porterait atteinte à la sécurité que nous assurons pour protéger les données des utilisateurs, ou qui tenterait de nous empêcher de révéler l’existence d’un tel arrêté et nos efforts pour le combattre.
- Garantir la transparence : nous nous efforçons d’être ouverts et proactifs quant à la manière dont nous protégeons la vie privée des utilisateurs, la sécurité et l’accès aux informations en ligne. C’est pourquoi nous avons pour politique d’informer les utilisateurs des demandes d’informations les concernant avant toute divulgation, sauf si la loi nous interdit de le faire ou dans des circonstances exceptionnelles où une telle notification serait contre-productive, comme lorsqu’un enfant risque de subir un préjudice. Depuis 2013, nous publions des rapports semestriels de transparence concernant la nature et l’étendue des demandes de données des utilisateurs que nous recevons des autorités, incluant autant d’informations que nous pouvons fournir sur le nombre de demandes reçues en vertu du United States Foreign Intelligence Surveillance Act (FISA) pendant la période de référence conformément à la législation américaine. Ces rapports donnent à notre communauté une visibilité sur le nombre de demandes que nous recevons, et sur la manière dont nous appliquons nos politiques et répondons aux demandes de données.
Apprenez-en plus sur les clauses contractuelles types. Pour en savoir davantage sur nos garanties et mesures mises en place pour protéger vos données lorsqu’elles sont transférées vers les États-Unis, vous pouvez consulter cette page.
Répondre aux demandes d’information des gouvernements
Le Foreign Intelligence and Surveillance Act (FISA) est l’autorité qui régit les demandes du gouvernement américain en matière de sécurité nationale. Pour répondre aux demandes de la FISA, Facebook suit le même processus que pour toutes les demandes des autorités en matière d’informations sur les utilisateurs ; nous répondons aux demandes uniquement lorsque nous pensons en toute bonne foi que la loi nous y oblige. Nous examinons également chacune des demandes des autorités reçues pour nous assurer qu’elles sont juridiquement valides, et ce, quelle que soit l’autorité. Lorsque nous y répondons, nous produisons uniquement des informations adaptées à la demande en question. Si nous déterminons que la demande d’une autorité n’est pas conforme aux lois ou politiques applicables, nous la rejetons et nous invitons les autorités à remédier à toute non-conformité apparente. Si la demande est illégale, nous la contestons ou nous la rejetons.
En publiant des règles applicables aux demandes des autorités, nous encourageons les autorités gouvernementales à ne soumettre que les demandes nécessaires, proportionnées, spécifiques et strictement conformes aux lois applicables.
De plus, nous nous engageons auprès des gouvernements pour encourager les pratiques qui protègent les droits des utilisateurs. Nous faisons partie de groupes de sensibilisation comme la Global Network Initiative, dont la mission est de faire évoluer la liberté d’expression et le respect de la vie privée des internautes du monde entier, et la Reform Government Surveillance, qui plaide pour que les demandes des autorités en matière de données soient régies par des règles adaptées, transparentes, soumises à un contrôle rigoureux et protégées par un chiffrement de bout en bout.
Pour en savoir plus sur la façon dont nous répondons aux demandes des autorités, y compris celles qui relèvent des lois américaines sur le renseignement comme la FISA, veuillez consulter notre foire aux questions.