Schrems attaque Facebook et Google dès l'application du RGPD

Les autorités de contrôle européennes avaient indiqué ne pas vouloir commencer à contrôler et sanctionner les entreprises dès le vendredi 25 mai 2018, premier jour de l’application du RGPD. Mais Maximilian Schrems n’en a cure.

Non content d’avoir fait tomber le Safe Harbour, de contraindre la justice européenne à se pencher sur les clauses contractuelles types, le juriste et activiste autrichien a déposé quatre plaintes via son organisation à but non lucratif, NOYB (None Of Your Business), vendredi à 1 h 26 du matin. Les plaintes visent Google pour son système d’exploitation Android, Facebook, Instagram et WhatsApp (ces deux dernières sociétés appartiennent à Facebook) et ont été déposées devant quatre autorités de contrôle différentes : la CNIL (France), l’APD (Belgique), la HmbBfDI (Hambourg, Allemagne) et la DSB (Autriche). Le but avoué est de pousser les autorités de contrôle à coopérer entre elles, comme le prévoient les art. 60 à 62 du RGPD.

Schrems estime que les quatre sociétés ne respectent pas le RGPD, car elles ne permettent pas aux utilisateurs de donner librement leur consentement à l’utilisation de leurs données. Autrement dit, l’utilisateur n’a pas le choix : soit il accepte de fournir des données personnelles pour qu’elles soient utilisées à des fins publicitaires (notamment), soit il ne peut pas utiliser le service et doit supprimer son compte s’il en a déjà un. (Au sujet du consentement, lire l’article intitulé : Initiation au GDPR (3) : consentement)

En outre, il ajoute que ces sociétés collectent des données qui ne sont pas utiles, c’est-à-dire que ces sociétés ne respectent pas le principe de proportionnalité (ou de minimisation ; art. 5 al. 1 let. c RGPD).

Noyb indique aussi un montant estimatif d’une éventuelle amende que les autorités pourraient infliger aux sociétés incriminées : 3,7 milliards d’euros pour Google, et 1,3 milliard pour Facebook, Instagram et WhatsApp chacune, soit 7,6 milliards d’euros au total. À titre personnel, l’indication de ces montants n’a aucun intérêt, si ce n’est faire le buzz. Noyb admet d’ailleurs que

Nous n’obtiendrons sans doute pas le paiement de milliards en pénalités immédiatement, mais les sociétés ont intentionnellement violé le RGPD donc nous nous attendons à une peine correspondante.

En effet, l’amende est l’ultima ratio et ne sera pas la plus grande menace pour les entreprises, y compris pour les sociétés comme les GAFAM. (voir à ce sujet l’article intitulé : GDPR : l’amende n’est pas votre plus grand risque) Il est douteux que les autorités infligent directement à Google, Facebook, Instagram et WhatsApp des amendes ; elles rendront vraisemblablement des décisions interdisant ou limitant des traitements de données personnelles puis, si les sociétés ne respectent pas ces décisions, infligeront des sanctions financières.

Il n’en reste pas moins que la nouvelle présidente du CEPD (ancien G29) trouverait le dossier de Schrems « très professionnel ».

Cette procédure constitue un double test très intéressant pour la nouvelle règlementation. Sur un aspect procédural, elle autorise les citoyens européens à adresser leurs plaintes à leur autorité de contrôle locale (ou une autre) au lieu de devoir s’adresser à celle du siège du responsable de traitement. Cette dernière sera forcément saisie, mais l’autorité locale du citoyen participera à la procédure. Sur l’aspect matériel, ce sera l’occasion de voir comment les autorités appliquent les principes du RGPD.

Google et Facebook ont déjà contesté les allégations de Schrems et affirment respecter le RGPD. Nul doute que ces plaintes ne s’arrêteront pas au stade de la première instance, mais qu’elles solliciteront les autorités de recours.