Recevez chaque jour toute l'actualité du numérique

x

La Cnil est accusée de laxisme face aux comportements des Gafam

D'après la Quadrature du Net, la Cnil serait trop laxiste face aux comportements des grandes entreprises technologiques. En mai 2018, l'association a déposé cinq plaintes contre Apple, Facebook, Amazon, Google et LinkedIn (Microsoft) pour la violation du RGPD. Trois ans plus tard, aucune de ces procédures n'a abouti malgré les relances de l'association.
Twitter Facebook Linkedin Flipboard Email
×

La Cnil est accusée de laxisme face aux comportements des Gafam
La Cnil est accusée de laxisme face aux comportements des Gafam © Cnil/Facebook

La Quadrature du Net, une association de promotion et de défense des droits et libertés sur Internet, accuse dans un billet de blog publié le 25 mai la Commission nationale de l'informatique et des libertés (Cnil) d'être laxiste envers les grandes entreprises technologiques, connues sous l'acronyme de "Gafam" pour Google, Apple, Facebook, Amazon et Microsoft.

Cinq plaintes sans succès
L'association française raconte avoir déposé cinq plaintes devant la Cnil à l'encontre de chacun des Gafam en mai 2018, mois de l'entrée en vigueur du Règlement général sur la protection des données (RGDP). Elle affirme que trois ans plus tard, aucune de ces procédures n'a abouti. "Ce total échec résulte d'une multitude d'irrégularités qui, toutes ou presque, révèlent le rôle coupable de la Cnil pour protéger les Gafam contre le droit", écrit la Quadrature du Net sur son site.

Pour simplifier et ainsi accélérer la procédure, les cinq plaintes reprenaient le même argument juridique, à savoir que ces entreprises ne respectent pas le consentement de leurs utilisateurs. Elles reposaient également sur des éléments publiés par les accusés eux-mêmes, notamment leurs conditions générales d'utilisation (CGU).

Une plainte a été déposée le 18 mai 2018 contre Apple. Dix jours plus tard, la Commission a transféré cette plainte à son homologue irlandais, la Data Protection Commission (DPC) en vertu du "guichet unique". Ce mécanisme commande qu'une société traitant des données dans un contexte transfrontalier n'a pour interlocutrice qu'une seule autorité de protection des données, à savoir l'autorité de l'Etat membre dans lequel est situé son établissement principal. Le 20 août 2018, la DPC a ouvert une enquête.

Des manoeuvres dilatoires ?
Un an plus tard, la Quadrature du Net a reçu un courrier de la Cnil lui demandant de fournir "la preuve qu'au moins une personne physique" qui lui avait donné mandat était bien "une personne 'concernée' par les traitements mis en oeuvre" par Apple. Une plaignante accepte alors d'envoyer ses coordonnées pour répondre à cette exigence qui, d'après l'association, n'était pourtant pas requise par le RGDP. Le 14 avril 2021, la Cnil indique à la Quadrature que cette personne n'a plus de compte sur les services d'Apple, "ce qui empêcherait la DPC de poursuivre son enquête". L'association envoie donc les coordonnées d'une nouvelle personne. Depuis, plus rien, se lamente la Quadrature.

Or, l'association note que le RGPD possède des mécanismes permettant de court-circuiter la DPC, notamment lorsqu'il est "urgent d'intervenir pour protéger les droits et libertés des personnes concernées". "Nous considérons que les manœuvres dilatoires d’Apple et/ou de la DPC, par leur caractère grave et manifeste, assimilent la situation à un déni de justice et caractérisent à elles seules l’urgence d’agir, permettant à la Cnil de prendre elle-même une décision", conclut la Quadrature.

Tout au long de son billet de blog, l'association explique avoir déposé successivement une plainte contre Facebook et LinkedIn, dont la maison-mère est Microsoft, ainsi que Google et Amazon. Sur ces cinq plaintes, deux n'ont jamais été examinées (Google et Amazon) et celles concernant Apple et Facebook "semblent faire l'objet de manoeuvres dilatoires absurdes". "La cinquième" sur LinkedIn "n'a pas davantage abouti sur quoi que ce soit de tangible", ajoute l'association.

Sollicitée par L'Usine Digitale, la Cnil a répondu "qu'elle n'était pas compétente pour traiter les plaintes de la LQDN contre les Gafam, qui ont donc été transmises aux autorités de protection des données de l’Irlande et du Luxembourg, conformément au RGPD. La Cnil relance régulièrement ces autorités sur le traitement de ces plaintes. Si la Cnil a agi rapidement sur les cookies déposés par certains Gafam, c’est parce que c’est le seul domaine où elle est compétente au niveau national pour des acteurs établis dans d’autres pays de l’Union européenne".

La Cnil irlandaise sous le feu des critiques
La Cnil n'est pas la seule autorité de la protection de la vie privée a être critiquée pour son supposé laxisme à l'encontre des Gafam. La DPC est critiquée pour des motifs similaires au point où le Parlement a voté le 20 mai en faveur d'une résolution appelant la Commission européenne à ouvrir une procédure de sanction pour violation du RGPD.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.