Il n’aura pas fallu attendre bien longtemps pour voir surgir une action contre les géants du Net. Quelques heures après la mise en application du RGPD, Maximilian Schrems, à la tête de l’initiative NOYB (nope of your business), s’est attaqué à Google, Instagram, WhatsApp et Facebook.
Comme expliqué lors de notre analyse ligne par ligne ou dans cet article, le dispositif prévoit de nouveaux droits, une territorialité étendue et une responsabilité accrue des responsables de traitement. Ceux-ci doivent ainsi, dès la conception de leurs systèmes, pouvoir démontrer qu’ils ont assuré un haut niveau de protection des données transitant dans leurs tuyaux et serveurs, tout en respectant un haut standard d’information des utilisateurs.
Nécessairement, ce nouveau cadre juridique, qui replace théoriquement les acteurs européens et internationaux sur un pied d’égalité face à la donnée, a suscité de nouveaux recours. Et sans grande surprise, c’est Maximilian Schrems qui fait partie des premiers au front.
Du Safe Harbor à cette quadruple action fondée sur le RGPD
Celui-ci n’est pas un inconnu puisqu’alors étudiant, il avait fait tomber le Safe Harbor devant la justice européenne. Cet accord fut noué entre la commission européenne et les États-Unis en 2000, pour faciliter le rapatriement des données personnelles des Européens outre-Atlantique, pour le grand plaisir du système de surveillance mis à l’index des années plus tard par Edward Snowden.
Devant quatre autorités de contrôle, le site Noyb.eu, qu’il a fondé, a déposé autant de recours visant quatre grands acteurs du numérique. Google/Android (devant la CNIL), Instagram (devant la DPA belge), WhatsApp (devant la HmbDfDI de Hambourg), et Facebook en Autriche (devant la DSB).
« À prendre ou à laisser »
Quels sont les reproches motivant ces quatre actions ? Noyb.eu, qui agit en représentation des intérêts d’un internaute français, pointe plusieurs défauts, d’abord dans les nouvelles conditions générales d’utilisation du géant de Mountain View.
Il lui est reproché par exemple de ne pas expliciter la base juridique sur laquelle il fonde précisément chacun des traitements derrière Android, une obligation pourtant prévue par le texte européen.
De même, outre un déficit d’information, Google est accusé de ne pas offrir de vraie liberté aux utilisateurs, si tant est que le consentement soit la base du recueil. Dans le RGPD, cette logique du « à prendre ou à laisser » fait présumer que le consentement n’a pas été donné librement, et la situation devient quelque peu délicate pour celui qui est mis en cause.
Selon Nyob.eu, Google « exige de la personne concernée de consentir à sa politique de confidentialité et à ses conditions d’utilisation dans leur ensemble, ce qui couvre en fait tous les "services", que le Responsable du Traitement met à disposition (par exemple YouTube, le navigateur Chrome, Google Services, Google Maps, Google Search, Google Actualités, Gmail, AdWords tout comme plusieurs autres services) ».
Un refus est lourd de conséquences : « le responsable du Traitement ne met simplement aucun service à disposition sans forcer préalablement la personne concernée à accepter ses conditions d’utilisation et sa politique de confidentialité ».
Un manque d’informations, un consentement noyé dans les CGU
Concernant Instagram, on retrouve les mêmes accusations. Schrems reproche au service, propriété de Facebook, de ne pas définir la base juridique du consentement, une obligation pourtant née du RGPD pour chaque type de traitement. Il « se contente d’énumérer chacune des six bases juridiques pour un traitement licite ». Conséquence : impossible « de déterminer clairement quels traitements précis sont basés sur chaque base juridique ».
Selon la plainte, le service de partage a caché dans les conditions générales d’utilisation (Termes of service) des clauses l’autorisant afin d’aiguiser ses publicités ciblées. Une forme de « consentement caché » dans les CGU : les utilisateurs ne sont pas correctement informés des traitements consécutifs à cette acceptation qui se fait sans optionnalité.
Whatsapp, propriété du même réseau social, souffre des mêmes critiques, avec une politique du tout ou rien. Du côté de Facebook, des clauses cachées dans les CGU permettent à Schrems de dupliquer ses critiques.
Et comme chez les autres services en ligne, la plateforme est pingre en options lorsqu’il faut accepter les nouvelles conditions, sans la granularité fine qu’évoque le règlement général. Ou plutôt, il y a bien une option, mais c’est celle de la suppression du compte. En soi, c’est une arme sur la tempe de l’utilisateur qui ne permet pas de satisfaire un recueil libre du consentement.
Un maximum de 7,6 milliards d’amendes administratives
Au regard du barème de sanctions programmé par le règlement, à savoir 20 millions d’euros ou 4 % du chiffre d’affaires mondial, Maximilian Schrems estime que les sociétés épinglées pourraient être redevables d’un maximum de 7,6 milliards d’euros, ainsi ventilés… :
- Google : 3,7 milliards d’euros
- Instagram : 1,3 milliard d’euros
- WhatsAppl : 1,3 milliard d’euros
- Facebook : 1,3 milliard d’euros.
Pour inciter les autorités de contrôle à suivre cette voie, les différentes plaintes relèvent la position dominante de chaque structure, signe d’un déséquilibre manifeste avec les utilisateurs.
NOYB affirme par exemple que Google, « malgré ses vastes capacités organisationnelles et techniques en tant qu'entreprise multinationale, a choisi de contourner résolument les exigences de traitement de la nouvelle loi, en n'assurant pas, même de la façon la plus indirecte le consentement «libre» ».
L’initiative en appelle donc à des amendes dissuasives, proportionnées et efficaces. Il sollicite également que les autorités de contrôle interdisent les traitements visés afin de contraindre les responsables à une purge plus salutaire.
La balle dans le camp des autorités de contrôle
Avec le RGPD, a estimé en substance Isabelle Falque-Pierrotin, l’Europe joue sa crédibilité. Avec ces quatre actions, celle-ci dispose d’une excellente occasion pour le démontrer.
Les résultats seront très précieux, au-delà même du sens des décisions attendues dans de longs mois. Chaque décision sera le siège d’une « jurisprudence » salutaire sur les marges de manœuvre des responsables de traitement et des droits reconnus aux personnes physiques.
Commentaires (58)
#1
Si l’Europe pouvait être efficace….
#2
Bon maintenant on attend que la Quadrature du net nous sorte un module pour lancer une plainte semi automatique et on bombarde les services européens !
#3
La stratégie des petites boîtes qui consiste à laisser les grosses se faire taper dessus en attendant de se mettre en conformité semble porter ses fruits jusque là…" />
J’espère que la décision sera claire et montrera l’exemple pour toutes les sociétés en tout cas " />
#4
Ça va être une bataille juridique épique.
#popcorn
#5
Mais euh, je veux le beurre, l’argent du beurre et le cul de la crémière sans donner mon consentement à Google euh !
Sinon, je ne vois pas le problème avec la logique du à prendre ou à laisser : le choix est simple : oui / non dégagez. C’est au contraire tout bénéf pour les solutions alternatives.
#6
Je me demande a qui reviennent les fonds en cas de condamnation?
#7
#8
#9
Whatsapp: tu ne partages pas tes contacts, tu ne peux pas texter à un numéro de téléphone à moins qu’il soit déjà présent dans un groupe… M’en fout, ils n’auront pas mes contacts. Quant à la conformité RGPD, ça m’a l’air un poil léger!
#10
Noyb.eu, qui agit en représentation des intérêts d’un internaute français
Est-ce que Shrems est avocat ?
#11
#12
#13
Je trouve dommage d’avoir des plaintes dès le Jour 1 du RGPD… Même si il a eu un délai de préparation suffisamment en amont de la part des entreprises, ce n’est pas forcément le cas des utilisateurs.
Ce qu’il faut surtout noté au cours de 6 premiers mois, voir année, c’est la capacité des entreprises et des utilisateurs à prendre en main les outils offerts par le RGPD.
Aujourd’hui chaque entreprise y va de sa propre interprétation de certaines règles et va regarder ce que les autres ont mis en place.
Les premiers jugements vont faire office de jurisprudence.
J’ai assisté à une conférence, où le présentateur ne savait pas trop comment le machine learning allait être problématique si ce dernier utilise des données utilisateurs.
Bref coté entreprises et utilisateurs tout le monde est entrain de voir comment cela va changer notre quotidien.
#14
Bon on en f’ra pas en Europe c’est tout
#15
#16
Tout a fait.
Par exemple, à part IOS plutôt réservé à une population aisée, j’ai du mal à envisager une solution grand public alternative à Google/Android.
De même dans le cadre de mon association, tisser des liens avec tous les acteurs du domaine concerné sans passer par facebook est difficilement concevable.
C’est bien d’ailleurs que dans le cadre de la plainte soit fait mention de la position dominante de ces acteurs.
#17
#18
#19
#20
« Quelle est la différence entre une amende et des dommages et intérêts ?
On confond souvent amende et dommages – intérêts.
Il faut les distinguer :
La somme fixée par le juge est payée à l’Etat.
Les dommages – intérêts sont payés par le responsable directement à la victime. »
- source-
#21
Qui malgré tout fera plus ou moins figure de jurisprudence indulgente car apparaissant au lendemain de la loi.
Autant laisser un peu plus de temps, les voir se débattre un peu avant d’attaquer et de se retrouver avec un jugement avec du recul pour une jurisprudence propre et potentiellement plus sévère des déviances vis a vis de la loi.
#22
#23
Et on laisse Amazon faire pareil.
Tant que l’UE ne se sortira pas les doigts pour pousser à des alternatives, nous resterons 100% dépendants de ces grosses boîtes américaines.
Comment vouloir réguler la gestions de nos données quand 100% de nos appareils tournent sur un Os américain qui fait du pillage de nos données son fond de commerce.
Même Microsoft s’y met avec win10.
#24
Disons que la position dominante est une circonstance aggravante.
Si Android / Facebook (pour ne citer que ceux que j’utilise) n’étaient pas en position dominante, il n’opteraient pas pour des solutions radicales en cas de refus (suppression de compte, désactivation de services).
#25
#26
J’ai pas de soucis avec la différenciation entre “amende” et “dommage et intérêt”.
Mais la situation n’est pas forcement claire ici, d’autant que l’article indique bien :
“Noyb.eu, qui agit en représentation des intérêts d’un internaute français”, généralement quand on représente l’intérêt d’un individu c’est bien qu’on estime que ce dernier a subit un dommage.
#27
C’est la position dominante qui permet d’imposer la collecte de données et ce malgré l’information de l’utilisateur.
L’un me paraît difficile à dissocier de l’autre.
#28
Toutes ces grandes sociétés US ont déjà prévu un budget de du personnel alloués aux batailles juridiques à venir concernant le RGPD.
D’ailleurs, l’essentiel du budget/personnel concernant le RGPD à surement été alloué au juridique et pas à la mise en place de la solution technique.
Bref, Legal business as usual.
#29
#30
Encore une fois, on ne peut pas préjuger de l’issue d’une procédure judiciaire avant qu’elle ait commencé. La jurisprudence n’est pas constituée par une seule décision administration d’une autorité de contrôle (il en faut plus que ça).
La jurisprudence correspond à un ensemble de décisions et de jugements. Effectivement, il faudra patienter plusieurs années et plusieurs décisions pour qu’il existe une jurisprudence qui pourra statuer quelques règles complémentaires à propos du RGPD. Le jugement médiatique de tout ça, c’est autre chose.
#31
Je pense sincèrement qu’en France, il existait il y a 15 ans des infrastructures capable de contrer amazon localement (Fnac, 3Suisses, La Redoute, …)
Sauf que les acteurs concernés n’ont rien vu venir et n’ont pas été capables d ‘évoluer.
EDIT : De plus, je pense qu’amazon n’en a rien à faire de mes données personnelles, quand je vois la qualité de leurs suggestions, ils sont complètement à coté de la plaque. Je pense que ce qui les intéresse d’avantage, c’est d’être un acteur incontournable de la VPC.
#32
Y a-t-il des dommages-intérêts prévus dans le cadre du RGPD ?
#33
#34
#35
#36
“Les résultats seront très précieux, au-delà même du sens des décisions attendues dans de longs mois. Chaque décision sera le siège d’une « jurisprudence » salutaire sur les marges de manœuvre des responsables de traitement et des droits reconnus aux personnes physiques.”
Surtout on aura, je l’espère, enfin une position nette sur la question de savoir si le modèle économique du défonçage de données peut être présenté comme nécessaire à l’exécution du service, et donc à accepter ou à laisser.
On espère tous que non et qu’il faut des consentements spécifiques ne fermant pas la porte du service, reste que c’est loin d’être gagné et, très honnêtement, je ne nous donne pas gagnant :/
#37
#38
#39
#40
#41
#42
#43
#44
Exact, la pression sociale suffit amplement. J’ai fait le choix de refuser Facebook. Je passe plus que fréquemment pour un extraterrestre. Mes proches essaient de me forcer par tous les moyens à m’y inscrire. Sans parler de l’accès à tout une série d’informations et d’articles qui sans être primordial, m’est impossible.
Mais je place mes données au dessus de tout ça. Après tout, c’est pas pour rien que je consulte NxI :-)
#45
Si t’es pas d’accord pour avoir un smartphone android tu n’as pas de smartphone ou un IOS à 800 € ?
Me sortez pas : Installe Linux Lineage
#46
#47
La Quadrature du Net a publié ses plaintes collectives.
#48
Aux gens qui disent que Day 1, l’attaque légale est lancée, que c’est plutôt “abusée” etc.. Je rappellerai deux points :
#49
#50
Je suis dans le même cas que toi, j’ai choisi de ne pas avoir de compte Facebook.
Je suis généralement assez “à la pointe” et un utilisateur primo adoptant pour pas mal de chose.
#51
Oui, personne n’a la science infuse, notamment face à une nouvelle réglementation qui touche tout un continent (ce qui arrive rarement, le droit est généralement plutôt en retard vis-à-vis du fonctionnement de la Société). En l’occurrence, tout citoyen peut engager un recours contre n’importe quelle organisation qui traite des données personnelles (il faut seulement être résident européen) : si vous souhaitez être exhaustif, c’est votre choix, allez-y, on vous regarde… et peut-être qu’on vous applaudira si vous obtenez gain de cause contre la multitude.
#52
#53
Il est temps que les gens prennent conscience du “gratuit” qui n’en est pas. Je ne condamne pas ce modèle mais il a beaucoup détruit économiquement.
#54
#55
On est loin d’un “tout ou rien du jour au lendemain”, et il faut dire qu’un recours judiciaire ne présume pas de la suite de la procédure : en l’état des choses, le RGPD ne verra pas l’application des premières sanctions avant un délai d’un an (et encore… ça ne concernera que des organisations qui manifesteront une mauvaise foi digne d’Al Capone).
« 8. La France est-elle prête ?
Pas exactement. Le projet de loi sur le RGPD, censé activer notamment plusieurs marges de manœuvre du règlement, a été déféré la semaine dernière devant le Conseil constitutionnel par plus de 60 sénateurs.
[…]
Mieux, dans le texte, 19 décrets d’application sont programmés, précédés le plus souvent d’un avis de la CNIL. Un tel chantier devrait prendre des mois de travaux.
Ce retard est problématique. Certes, faute de texte, c’est le règlement qui s’applique sans nuance, cependant, le projet de loi règle dans le détail les procédures de collaboration entre la commission et les autres autorités de contrôle installées en Europe. La lacune calendaire française risque donc d’impacter les procédures portant sur les traitements touchant à plusieurs pays.
[…]
Enfin, la CNIL crie quelque peu famine depuis quelques temps. Elle se plaint de ne pas disposer des ressources suffisantes pour assumer ses nouvelles missions. Il faudra attendre la prochaine loi de finances pour espérer une rustine budgétaire.
[…]
Clairement. Le RGPD est souvent « vendu » par les prestataires spécialisés, mais aussi les médias, sous son versant le plus anxiogène. Rien de plus simple, pour vendre des gilets pare-balles, que de claironner une guerre à nos portes. La CNIL a d’ailleurs tiré le signal d’alarmepubliquement sur certaines pratiques.
La position de la commission sur cette question est simple : d’une part, le 25 mai ne sera pas un couperet. D’autre part, sa stratégie dépendra des atteintes constatées. Selon ses confidences, l’autorité indépendante se montrera intraitable pour la violation des grands principes partagés avec la loi de 1978, mais beaucoup plus conciliante pour les nouvelles obligations.
Dans ce nouveau périmètre, sa démarche est davantage celle d’un accompagnement sur plusieurs mois, en particulier à destination des petites structures (PME, start-up, etc.), évidemment loin de disposer des ressources suffisantes. […] »
#56
Les solutions alternatives c’est très bien mais ça suggère de devoir convaincre tout ses contacts de migrer dessus aussi
Encore, entre power user ça peut se concevoir, mais c’est quasi impossible de demander a un power user de migrer
J’en suis arrivé a devoir installer WhatsApp juste pour garder contact avec UNE personne par exemple…
#57
#58
Ils sont drôles chez Tumblr. Ils te laisse le choix de refuser qu’ils vendent tes données, mais pour ça il faut décocher manuellement les 332 « partenaires »… " />