À près d’un mois de l’entrée en application du Règlement général sur la protection des données personnelles, La Quadrature du Net lance une nouvelle campagne. L’angle change des opérations habituelles puisqu’il s’agit de collecter des mandats de représentation en préparation de futures actions de groupe.
Comme souligné lors de notre analyse ligne par ligne, l’article 80 du RGPD orchestre une mise à jour législative dans tous les États membres afin d’autoriser les actions collectives en cas de violation des données personnelles. Chacun peut ainsi mandater un organisme ou une association dont les objectifs sont d'intérêt public et actif dans le domaine de la protection aux fins d’être représenté.
Cette disposition a été intégrée en France dans le projet de loi sur les données personnelles, adopté en nouvelle lecture à l’Assemblée nationale la semaine dernière. Une révolution toute relative puisque la loi de modernisation de la justice autorise depuis novembre 2016 des class actions en cas de violation des règles garantissant la protection des données à caractère personnel (art. 43 ter loi 6 janvier 1978).
L’une des nouveautés du RGPD est que cette procédure pourra être diligentée directement devant la Commission nationale de l’informatique et des libertés (voire contre celle-ci ou contre le responsable de traitement devant une juridiction).
La quête de mandats avant de futures actions devant la CNIL
La Quadrature du Net a mis en ligne le site gafam.laquadrature.net, taillé contre les « Big Five » : Google, Apple, Facebook, Amazon et Microsoft. Elle y annonce la couleur : « Notre liberté de conscience, les laissant accéder aux détails de notre esprit pour nous manipuler de façon individualisée et automatisée. Notre vie privée et notre intimité, sans laquelle nous ne pouvons plus nous construire nous-mêmes ».
En pratique, cette plateforme a pour vocation de glaner les mandats de chaque internaute, du moins ceux qui voudraient être représentés par ses soins à l’occasion d’action à venir à la porte de la CNIL, puis de la justice.
Après avoir renseigné ses nom et prénom, il suffit de pointer le ou les services visés par ce mandat : Gmail, YouTube, Android (du moins dans sa version préinstallée par les constructeurs), Google Search, iOS, Facebook, Whatsapp, Instagram, Amazon, Outlook et son environnement Hotmail, Live et MSN, enfin Skype et LinkedIn.
On le voit, aucun service français n’est dans la boucle, pas même les éditeurs de presse (du moins ceux peu sourcilleux avec la gestion des cookies à l’entrée des sites).
Ce contrat est calibré pour obtenir la fin de la violation alléguée des droits, non à obtenir réparation du préjudice causé, comme cela est pourtant prévu par le projet de loi actuel. La procédure est gratuite et sans risque, d'après l'association.
Pourquoi agir ? Toujours selon la Quadrature, ces services en ligne fondent leurs traitements « sur un consentement non valide, car non explicite ou non libre », n’entrant dans aucune des exceptions du règlement. Premier cas épinglé, sans grands détails, Facebook. Le réseau est accusé de sonder les faits et gestes des abonnés pour aiguiser les campagnes de publicité, sans avoir pris soin de glaner préalablement leur consentement « libre », soutient Arthur Messaud, membre de la Quadrature.
La stratégie de la CNIL après le 25 mai
L’idée sous-jacente est évidemment d’amasser le maximum de signatures pour faire pression sur la CNIL lors du grand saut du 25 mai. Celle-ci a déjà donné les lignes de sa politique.
Si Isabelle Falque-Pierrotin a souligné la semaine dernière qu’avec le RGPD, l’Europe jouera sa crédibilité, elle a décrit la dualité de son approche.
D’un côté, la commission sera bienveillante sur l’intégration des nouvelles briques prévues par le règlement, sous condition de bonne foi des responsables. Sa démarche s’appuiera donc davantage sur un accompagnement, une carotte plutôt qu’un bâton.
De l’autre, elle sera plus intransigeante avec les concepts et principes qu’on retrouve depuis 40 ans dans la loi Informatique et Libertés, comme la loyauté du traitement, la durée du traitement, la sécurité des données, éléments repris par le RGPD.
