Recevez chaque jour toute l'actualité du numérique

x

La Commission européenne défend la Cnil irlandaise, accusée d'inaction face à Meta

Vu ailleurs Bruxelles vole au secours de la Data Protection Commission, qui est accusée de complaisance avec Meta, dans le cadre d'un litige dans lequel l'entreprise américaine se défend de traiter légalement les données des utilisateurs de son réseau social. Didier Reynders, commissaire européen à la justice, estime que l'autorité irlandaise a raison d'être prudente. 
Twitter Facebook Linkedin Flipboard Email
×

La Commission européenne défend la Cnil irlandaise, accusée d'inaction face à Meta
La Commission européenne défend la Cnil irlandaise, accusée d'inaction face à Meta © Alexandre Lallemand/Unsplash

Didier Reynders, commissaire européen à la justice, a défendu la Data Protection Commission (DPC) – l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil) en Irlande – dans une lettre adressée aux eurodéputés, consultée par Politico. Il y déclare que l'autorité irlandaise a raison de "procéder avec prudence dans un certain nombre de cas", et en particulier avec Meta (ex Facebook).

Un "contrat" entre Facebook et ses utilisateurs
Une affaire est en cours devant la DPC concernant la base juridique sur laquelle se repose Meta pour justifier le traitement des données personnelles des utilisateurs de son réseau social Facebook. Avant le Règlement général sur la protection des données (RGPD), l'entreprise répondait que les internautes avaient eux-mêmes consenti à l'utilisation de leurs informations. Or, depuis l'entrée en vigueur de ce texte en mai 2018, le réseau social revendique désormais l'existence d'"un contrat" formé entre les utilisateurs et lui-même. Ainsi, en contrepartie du traitement de leurs données, ils peuvent utiliser le réseau social.  

En effet, la conclusion d'un contrat est l'une des six bases légales prévues par le RGPD permettant à un acteur public ou privé de traiter des données personnelles. Sont également prévues par ce texte : le respect d'une obligation légale, l'intérêt vital, l'exécution d'une mission de service public ou les intérêts légitimes d'une entreprise. Si la collecte n'est pas réalisée dans l'une de ces cinq situations, l'entreprise est alors obligée d'obtenir le consentement avant de recueillir des données personnelles.

Echapper aux obligations liées au consentement
L'argumentation de Meta est assez simple : en interprétant l'accord entre l'utilisateur et Facebook comme "un contrat", les règles strictes sur le consentement prévues par le RGPD ne s'appliquent plus. En d'autres termes, cela signifie que Meta peut utiliser toutes les données dont il dispose pour tous les produits qu'il fournit, y compris la publicité, le suivi en ligne et autres, sans avoir besoin de recueillir le consentement des utilisateurs.

"La question [de savoir] quelles données peuvent être traitées sur la base d'un contrat est une question complexe, qui fait maintenant l'objet de deux procédures devant la CJUE (Cour de justice de l'Union européenne, ndlr)", rétorque Didier Reynders dans sa lettre. Mais ce point de vue n'est pas unanime. Certaines autorités de protection des données estiment que Meta contourne le RGPD car la qualification de "contrat" ne tient pas. 

Un détournement de l'esprit du RGPD ?
Pour None of Your Business (NOYB), association à but non lucratif régulièrement impliquée dans des affaires contre les grandes entreprises technologiques, "Facebook essaie simplement de contourner les règles claires du RGPD". Max Schrems, militant et président de l'association autrichienne, en conclut que "si cela était accepté, n'importe quelle entreprise pourrait simplement écrire le traitement des données dans un contrat et ainsi légitimer toute utilisation des données client sans leur consentement". 

"La Commission tient à souligner dans ce contexte que les six bases juridiques pour le traitement des données personnelles en vertu du RGPD sont toutes valables et protectrices", répond le commissaire Didier Reynders dans la lettre. Il conteste également certains chiffres avancés pour critiquer la DPC. L'affirmation selon laquelle l'autorité n'a pas envoyé de projets de décision à ses homologues dans 98% des 164 affaires "semble être une mauvaise interprétation" des statistiques officielles.

De plus, le commissaire s'est félicité de certaines sanctions prises à l'encontre des grandes entreprises technologiques par la DPC, à l'image de celle de 225 millions d'euros infligée à WhatsApp. Il conclut que la Commission n'a "pas encore identifié de problèmes avec les règles irlandaises de protection des données ou n'a pas de preuves que ces règles n'ont pas été respectées". 

Les liens entre Bruxelles et la DPC font l'objet d'une plainte
La position de la Commission européenne n'est en réalité pas étonnante, à en croire les accusations portées par le Conseil des libertés civiles (ICCL), une organisation non gouvernementale (ONG) spécialisée dans la défense des droits de l'Homme. Il a déposé en novembre dernier une plainte devant le Médiateur européen, une instance de médiation ayant pour mission d'enquêter sur les cas de mauvaise administration des institutions européennes. 

L'ONG accuse l'autorité irlandaise de ne pas suffisamment agir contre les éventuelles violations de la loi européenne sur la protection des données mais elle reproche également à l'exécutif bruxellois de fermer les yeux. "Non seulement la Commission n'a pas agi mais elle n'a pas même pas recueilli d'informations pour savoir si elle devait agir", expliquait Johnny Ryan, chargé de mission à l'ICCL.

Le Médiateur doit désormais instruire la plainte puis décider d'ouvrir ou non une enquête. Il est donc trop tôt pour savoir si les accusations de collusion entre Bruxelles et la DPC sont fondées. Si tel est le cas, les conséquences juridiques et politiques pourraient être immenses. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.