Il n’aura pas fallu attendre bien longtemps pour voir surgir une action contre les géants du Net. Quelques heures après la mise en application du RGPD, Maximilian Schrems, à la tête de l’initiative NOYB (nope of your business), s’est attaqué à Google, Instagram, WhatsApp et Facebook.
Comme expliqué lors de notre analyse ligne par ligne ou dans cet article, le dispositif prévoit de nouveaux droits, une territorialité étendue et une responsabilité accrue des responsables de traitement. Ceux-ci doivent ainsi, dès la conception de leurs systèmes, pouvoir démontrer qu’ils ont assuré un haut niveau de protection des données transitant dans leurs tuyaux et serveurs, tout en respectant un haut standard d’information des utilisateurs.
Nécessairement, ce nouveau cadre juridique, qui replace théoriquement les acteurs européens et internationaux sur un pied d’égalité face à la donnée, a suscité de nouveaux recours. Et sans grande surprise, c’est Maximilian Schrems qui fait partie des premiers au front.
Du Safe Harbor à cette quadruple action fondée sur le RGPD
Celui-ci n’est pas un inconnu puisqu’alors étudiant, il avait fait tomber le Safe Harbor devant la justice européenne. Cet accord fut noué entre la commission européenne et les États-Unis en 2000, pour faciliter le rapatriement des données personnelles des Européens outre-Atlantique, pour le grand plaisir du système de surveillance mis à l’index des années plus tard par Edward Snowden.
Devant quatre autorités de contrôle, le site Noyb.eu, qu’il a fondé, a déposé autant de recours visant quatre grands acteurs du numérique. Google/Android (devant la CNIL), Instagram (devant la DPA belge), WhatsApp (devant la HmbDfDI de Hambourg), et Facebook en Autriche (devant la DSB).
« À prendre ou à laisser »
Quels sont les reproches motivant ces quatre actions ? Noyb.eu, qui agit en représentation des intérêts d’un internaute français, pointe plusieurs défauts, d’abord dans les nouvelles conditions générales d’utilisation du géant de Mountain View.
Il lui est reproché par exemple de ne pas expliciter la base juridique sur laquelle il fonde précisément chacun des traitements derrière Android, une obligation pourtant prévue par le texte européen.
De même, outre un déficit d’information, Google est accusé de ne pas offrir de vraie liberté aux utilisateurs, si tant est que le consentement soit la base du recueil. Dans le RGPD, cette logique du « à prendre ou à laisser » fait présumer que le consentement n’a pas été donné librement, et la situation devient quelque peu délicate pour celui qui est mis en cause.
Selon Nyob.eu, Google « exige de la personne concernée de consentir à sa politique de confidentialité et à ses conditions d’utilisation dans leur ensemble, ce qui couvre en fait tous les "services", que le Responsable du Traitement met à disposition (par exemple YouTube, le navigateur Chrome, Google Services, Google Maps, Google Search, Google Actualités, Gmail, AdWords tout comme plusieurs autres services) ».
Un refus est lourd de conséquences : « le responsable du Traitement ne met simplement aucun service à disposition sans forcer préalablement la personne concernée à accepter ses conditions d’utilisation et sa politique de confidentialité ».
Un manque d’informations, un consentement noyé dans les CGU
Concernant Instagram, on retrouve les mêmes accusations. Schrems reproche au service, propriété de Facebook, de ne pas définir la base juridique du consentement, une obligation pourtant née du RGPD pour chaque type de traitement. Il « se contente d’énumérer chacune des six bases juridiques pour un traitement licite ». Conséquence : impossible « de déterminer clairement quels traitements précis sont basés sur chaque base juridique ».
Selon la plainte, le service de partage a caché dans les conditions générales d’utilisation (Termes of service) des clauses l’autorisant afin d’aiguiser ses publicités ciblées. Une forme de « consentement caché » dans les CGU : les utilisateurs ne sont pas correctement informés des traitements consécutifs à cette acceptation qui se fait sans optionnalité.
Whatsapp, propriété du même réseau social, souffre des mêmes critiques, avec une politique du tout ou rien. Du côté de Facebook, des clauses cachées dans les CGU permettent à Schrems de dupliquer ses critiques.
Et comme chez les autres services en ligne, la plateforme est pingre en options lorsqu’il faut accepter les nouvelles conditions, sans la granularité fine qu’évoque le règlement général. Ou plutôt, il y a bien une option, mais c’est celle de la suppression du compte. En soi, c’est une arme sur la tempe de l’utilisateur qui ne permet pas de satisfaire un recueil libre du consentement.
Un maximum de 7,6 milliards d’amendes administratives
Au regard du barème de sanctions programmé par le règlement, à savoir 20 millions d’euros ou 4 % du chiffre d’affaires mondial, Maximilian Schrems estime que les sociétés épinglées pourraient être redevables d’un maximum de 7,6 milliards d’euros, ainsi ventilés… :
- Google : 3,7 milliards d’euros
- Instagram : 1,3 milliard d’euros
- WhatsAppl : 1,3 milliard d’euros
- Facebook : 1,3 milliard d’euros.
Pour inciter les autorités de contrôle à suivre cette voie, les différentes plaintes relèvent la position dominante de chaque structure, signe d’un déséquilibre manifeste avec les utilisateurs.
NOYB affirme par exemple que Google, « malgré ses vastes capacités organisationnelles et techniques en tant qu'entreprise multinationale, a choisi de contourner résolument les exigences de traitement de la nouvelle loi, en n'assurant pas, même de la façon la plus indirecte le consentement «libre» ».
L’initiative en appelle donc à des amendes dissuasives, proportionnées et efficaces. Il sollicite également que les autorités de contrôle interdisent les traitements visés afin de contraindre les responsables à une purge plus salutaire.
La balle dans le camp des autorités de contrôle
Avec le RGPD, a estimé en substance Isabelle Falque-Pierrotin, l’Europe joue sa crédibilité. Avec ces quatre actions, celle-ci dispose d’une excellente occasion pour le démontrer.
Les résultats seront très précieux, au-delà même du sens des décisions attendues dans de longs mois. Chaque décision sera le siège d’une « jurisprudence » salutaire sur les marges de manœuvre des responsables de traitement et des droits reconnus aux personnes physiques.
