Eco
RGPD : Haro sur les GAFAM !
Par Jacques Cheminat, publié le 30 mai 2018
A peine le règlement européen entré en vigueur, que les premières plaintes ont été déposées. L’association promue par Max Schrems et la Quadrature du Net estent devant les CNIL européennes contre le consentement forcé des GAFAM.
Les spécialistes de la sécurité pensaient que les premières plaintes concerneraient des incidents de sécurité. Les juristes tablaient sur des défauts de conformité ou de mise en oeuvre. Les deux ont finalement tort, les premières plaintes concernant l’application du règlement général sur la protection des données (RGPD) ont été déposées par des citoyens européens à travers des associations de défense de la vie privée.
Première à dégainer, l’association NOYB (None of your Business) créée par Max Schrems a porté plainte dès le 25 mai contre 4 sociétés. Le fondateur n’est pas un inconnu, il a été à l’origine de la décision de la Cour de Justice de l’Union européenne annulant le Safe Harbor, l’accord sur le transfert des données entre l’Europe et les Etats-Unis. Là, il attaque à la fois Google auprès de la CNIL, Instagram en Belgique, WhatsApp en Allemagne et Facebook en Autriche. Cet éclatement des plaintes doit éprouver la coopération transfrontalière des autorités européennes de protection des données personnelles. Le principal grief des plaintes est le recours par les acteurs IT à la politique du « tout ou rien » en matière de consentement. Concrètement, Google, Facebook, WhatsApp et Instagram impose aux abonnés l’acceptation de l’ensemble des conditions de leurs politiques de confidentialité sinon ils ne peuvent plus utiliser le service ou le terminal (dans le cadre d’Android).
Des actions collectives de 12 000 plaignants contre les GAFAM
L’association NOYB a été suivie par la Quadrature du Net. L’ONG française a annoncé le dépôt de 5 actions collectives, représentant 12 000 personnes, auprès de la CNIL. Les acteurs visés sont « Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn (propriété de Microsoft) ». Comme dans le cas de l’ONG de Max Schrems, le principal reproche réside dans l’absence de « consentement explicite » des abonnés, qui s’exprime « par une déclaration ou par un acte positif ». Actuellement, ce consentement est forcé, car l’usage des services est conditionné à cette acceptation. Dans le cadre de Facebook, par exemple, la Quadrature du Net constate que « les traitements d’analyse comportementale et de ciblage populaire ne sont pas nécessaires à l’exécution du contrat ».
L’association française sait que la procédure va être longue et avoue avoir attaqué seulement 7 services sur 12 initialement ciblés. Dans ces différentes actions, les défenseurs de la vie privée réclament la suppression de ce consentement forcé, mais aussi et surtout des amendes contre les GAFAM. Pour mémoire, le RGPD prévoit des sanctions financières pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires. On se doute que les principaux concernés fournissent leurs armes pour répondre à ces différentes plaintes. Une chose est sûre les citoyens européens disposent de nouveaux droits et certains sont bien décidés à les faire respecter.