Facebook et Google visés par les premières plaintes pour non-respect du RGPD

Les premières plaintes ont été déposées. [Marco Paköeningrat/Flickr]

Dès l’entrée en vigueur du nouveau règlement européen sur la protection des données, des plaintes ont visé les grandes entreprises tech américaines et leur gestion des données.

Alors que le nouveau règlement général de protection des données (RGPD) établi par l’UE et entré en vigueur le 25 mai, quatre plaintes ont visé Facebook et Google en Allemagne, Autriche, Belgique et France.

NOYB, une ONG privée dirigée par l’avocat autrichien Max Schrems, a porté plainte contre Google, Facebook et Instagram et Whatsapp, deux applications rachetées par Facebook. Ces sociétés auraient enfreint les règles du RGPD selon lesquelles elles doivent obtenir le consentement explicite des utilisateurs pour traiter leurs données personnelles.

Max Schrems était également à l’origine d’une plainte déposée en 2015 et qui a enterré l’accord sur le partage des données entre l’UE et les États-Unis.

Les entreprises de technologie américaines peuvent s’attendre à subir encore plus de pression dans les prochains jours. L’ONG française La Quadrature du Net a recueilli des signatures pour un recours collectif contre Facebook, Google, Amazon, Apple et Microsoft et envoyé une plainte à l’autorité nationale française de protection des données le 28 mai.

Arthur Messaud, conseiller juridique de l’ONG, a déclaré que le procès visera l’utilisation alléguée du « consentement forcé » par les entreprises, en suivant les mêmes motifs juridiques que les plaintes de Max Schrems.

« Le consentement ne devrait pas conditionner votre accès à un service, or c’est exactement ce qui se passe sur Facebook ou Google. Vous ne pouvez pas utiliser Facebook si vous ne consentez pas à la façon dont ils utilisent vos données », a-t-il déclaré.

Les CNIL européennes renforcent leur force de frappe commune

En préparation de la nouvelle loi, les autorités de surveillance nationales de protection des données vont unir leurs efforts pour enquêter, voire sanctionner les entreprises qui rechignent à se plier aux règles.

Le RGPD crée un nouveau système qui impose une consultation entre les autorités nationales de protection des données de chaque pays de l’UE, afin qu’elles se mettent d’accord sur chaque cas qui s’appuie sur la nouvelle loi.

Ces autorités devront également parvenir à un consensus sur l’opportunité de sanctionner les entreprises qui enfreignent les règles. Le règlement donne aux régulateurs le pouvoir d’imposer des amendes record de 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise en question. Il est cependant peu probable que la plupart des entreprises soient confrontées à des amendes aussi élevées.

« Je promets que nous ne sommes pas des machines à sanctionner », a ainsi déclaré Andrea Jelinek, présidente du Conseil européen de la protection des données, le nouveau groupe de coordination des régulateurs nationaux, a déclaré lors d’une conférence à Bruxelles inaugurant le RGPD, le 25 mai, qui ajoute toutefois que « s’il est nécessaire d’imposer une amende, nous n’hésiterons pas à le faire. »

Les plaintes peuvent être déposées dans n’importe quel pays de l’UE, mais c’est l’autorité du pays dans lequel l’entreprise siège qui sera responsable de l’enquête.

Les sièges européens de Facebook et Google sont en Irlande. Le régulateur irlandais sera donc sous les feux de la rampe alors que les griefs juridiques s’accumulent.

« Il n’y a aucun doute qu’il y aura beaucoup de pression, beaucoup de consultations qui devront avoir lieu », a déclaré Helen Dixon, de l’autorité irlandaise de protection des données, vendredi après une réunion des autorités nationales de protection de la vie privée à Bruxelles. « Nous allons avoir beaucoup de pain sur la planche. »

Les autorités irlandaises ont annoncé leur intention d’embaucher plus de personnel cette année pour traiter les nouvelles plaintes. En plus des nouvelles recrues à l’interne, Helen Dixon a expliqué qu’elle pourrait « emprunter » des experts juridiques d’autres pays pour s’occuper des enquêtes à venir.

Andrea Jelinek, également responsable de la protection de la vie privée en Autriche, a confirmé que son bureau avait reçu la plainte contre Facebook de l’ONG NOYB à 1h26 le 25 mai. Le RGPD est entré en vigueur à minuit.

Max Schrems a déposé la plainte contre Facebook en Autriche, tandis que les dossiers de son ONG contre Google ont été envoyés aux autorités françaises, la plainte contre WhatsApp a été transmise au chien de garde de Hambourg et une autre plainte contre Instagram en Belgique.

NOYB a déclaré dans un communiqué que les quatre plaintes avaient été envoyées à différentes autorités afin de « permettre la coopération européenne ». Les quatre bureaux transmettront les dossiers à Dublin. Selon Helen Dixon, les plaintes n’ont cependant pas été immédiatement transmises.

Bruxelles fait pression sur les États retardataires sur la protection des données

L’Allemagne et l’Autriche sont les seuls pays européens prêts pour une révision majeure des règles européennes sur la vie privée, qui entrera en vigueur en mai.

Faux départ

Certains sites Internet ont fermé leurs services pour les internautes européens vendredi, illustrant l’incertitude des entreprises sur la manière de se conformer au RGPD. Les sites des médias américains, y compris le Los Angeles Times, ont été bloqués dans l’UE. Un avis affiché aux Européens qui ont essayé d’accéder au site web du journal explique que « notre site web est actuellement indisponible dans la plupart des pays européens. Nous nous penchons sur cette question et nous nous engageons à examiner les options possibles pour notre gamme complète d’offres numériques sur le marché de l’UE ».

Andrea Jelinek a déclaré aux journalistes qu’elle n’avait pas encore été en contact avec le Los Angeles Times à ce sujet. « Je suis convaincue que la perte d’informations ne sera pas très importante parce que je suis sûre que le Los Angeles Times rouvrira son site. »

Le jour de l’entrée en vigueur du règlement, douze pays de l’UE ont confirmé que leurs lois nationales ont été mises à jour. Huit autres pays ont informé la Commission européenne qu’ils achèveront bientôt ces procédures juridiques.

Ils sont encore huit, la Bulgarie, la Belgique, Chypre, la Grèce, la République tchèque, la Hongrie, la Lituanie et la Slovénie, à ne pas avoir respecté l’échéance du 25 mai et à ne pas sembler préparés pour l’introduction du RGPD dans leurs systèmes juridiques.

La commissaire européenne à la justice, Vera Jourova, a déclaré vendredi qu’elle avait écrit plus tôt dans la matinée aux ministres qui supervisent les lois sur la protection des données dans chacun des 28 pays de l’UE. Si elle a adressé un message de félicitations à certains ministres, les aux ministres des huit pays non préparés contenaient une mise en garde sur la nécessité de se mettre à jour.

Il pourrait y avoir une vague de batailles juridiques à venir : si les pays ne traduisent pas le RGPD en droit national, la Commission pourrait en effet les traduire en justice.

Zuckerberg attendu de pied ferme par les eurodéputés

Après le scandale des fuites de données, Mark Zuckerberg, PDG de Facebook, a finalement accepté de rencontrer des représentants du Parlement européen. Pour Věra Jourová, commissaire à la justice, c’est surtout à lui-même qu’il fait une faveur.

Subscribe to our newsletters

Subscribe