Facebook risque une amende de 36 millions d'euros pour violation du RGPD

Vu ailleurs La Data Protection Commission souhaite infliger une amende entre 28 entre 36 millions d'euros à Facebook. Le projet de sanction a été adressé à ses homologues, qui ont désormais un mois pour se prononcer. L'autorité irlandaise estime que Facebook n'est pas transparent sur la base juridique utilisée pour le traitement des données personnelles des utilisateurs du réseau social.

Facebook risque une amende de 36 millions d'euros pour violation du RGPD © Unsplash

La Data Protection Commission (DPC) – l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil) en Irlande – a envoyé un projet de décision à ses homologues proposant d'infliger une amende comprise entre 28 et 36 millions d'euros à Facebook, d'après un article de Politico publié le 13 octobre 2021.

C'est l'association None of Your Business (Noyb), à l'origine de la plainte, qui a révélé le contenu du projet de sanction. La DPC lui a immédiatement demandé de supprimer de document insistant sur le fait que ce document était confidentiel. Ce que l'association autrichienne a refusé de faire. 

Les autorités nationales de protection des données ont désormais un mois pour se prononcer sur cette proposition. Elles peuvent présenter des objections motivées. Si l'autorité chef de file, en l'espèce la DPC, souhaite ne pas suivre cette objection, elle doit soumettre la question au mécanisme de contrôle de la cohérence qui associe la Commission européenne.

La base juridique du traitement des données
L'affaire en cours concerne la base juridique sur laquelle Facebook se repose pour justifier le traitement des données personnelles des utilisateurs du réseau social. Avant le Règlement général sur la protection des données (RGPD), le géant américain répondait que les internautes avaient eux-mêmes consenti à l'utilisation de leurs informations.

Or, depuis l'entrée en vigueur de ce texte en mai 2018, le réseau social revendique l'existence "un contrat" formé avec des services Facebook, au sens de l'article 6 (b) du RGPD, qui sont offerts en contrepartie du traitement des données personnelles des utilisateurs.

L'argument juridique de Facebook est assez simple : en interprétant l'accord entre l'utilisateur et Facebook comme "un contrat", les règles strictes sur le consentement en vertu du RGPD ne s'appliquent plus. En d'autres termes, cela signifie que Facebook peut utiliser toutes les données dont il dispose pour tous les produits qu'il fournit, y compris la publicité, le suivi en ligne et autres, sans demander aux utilisateurs leur consentement.

Un montage contraire à l'esprit du RGPD
La stratégie de Facebook est légale en théorie mais clairement contraire à l'esprit de la loi. Mais, d'après Noyb, "Facebook essaie simplement de contourner les règles claires du RGPD", dénonce Max Schrems, militant et président de l'association, dans un communiqué. "Si cela était accepté, n'importe quelle entreprise pourrait simplement écrire le traitement des données dans un contrat et ainsi légitimer toute utilisation des données client sans consentement", estime-t-il.

Sur ce sujet, la DPC et ses homologues ne partagent pas le même point de vue. De leurs côtés, les autorités estiment qu'un tel contournement du RGPD n'est pas acceptable et que la qualification de "contrat" ne tient pas. Cependant, la DPC a déclaré qu'elle n'était "tout simplement pas convaincue" par le point de vue de ses collègues européens.

Pour justifier sa position, Facebook argue d'un accord passé avec la DPC au printemps 2018, juste avant l'entrée en vigueur du RGPD, raconte Noyb. Impossible d'en connaître le contenu mais le géant américain l'utilise régulièrement pour légitimer ses pratiques au sein de l'Union européenne, note l'association autrichienne.

Un manque de transparence
Par conséquent, le projet d'amende de la DPC n'a pour vocation de punir le contournement du RGPD mais le manque de transparence de Facebook. Reste que le montant de la sanction est ridicule. Elle représente 0,048% du chiffre d'affaires mondial de Facebook (17,7 milliards de dollars), d'après Noyb. Pourtant, le RGPD permet de monter jusqu'à 4% du chiffre d'affaires.

La DPC est accusée depuis plusieurs mois d'être à la botte des grandes entreprises technologies, qui siègent pour la majorité à Dublin. Elle est même accusée de violer le RGPD car elle empêcherait le bon déroulement des procédures. En effet, en vertu du mécanisme du "guichet unique" prévu par le RGPD, une société traitant des données dans un contexte transfrontalier n'a pour interlocutrice qu'une seule autorité de protection des données, à savoir l'autorité de l'Etat membre dans lequel est situé son établissement principal. 

"La DPC a signalé 10 000 plaintes environ l'année dernière mais n'a pris aucune décision formelle sur celles-ci", d'après Noyb. Seules 0,07% des plaintes introduites devant la DPC aboutissaient, s'alarmait l'association.