Conséquence RGPDienne du Brexit : le Royaume-Uni devient un État tiers. Pour faciliter le transfert de données vers l’outre-Manche, la Commission a adopté deux décisions d'adéquation considérant ce pays comme offrant un niveau de protection équivalent à celui en vigueur dans l’Union européenne.

Deux décisions adoptées, « l'une au titre du règlement général sur la protection des données (RGPD) et l'autre au titre de la directive en matière de protection des données dans le domaine répressif », détaille l’instance bruxelloise.

Ces décisions d'adéquation « facilitent également la mise en œuvre correcte de l'accord de commerce et de coopération entre l'Union européenne et le Royaume-Uni, qui prévoit l'échange d'informations à caractère personnel, par exemple en matière de coopération judiciaire ».

Pour Věra Jourová, vice-présidente chargée des valeurs et de la transparence, « bien que le Royaume-Uni ait quitté l'Union européenne, son régime juridique en matière de protection des données à caractère personnel est resté identique ».

Dans une résolution adoptée fin mai, le Parlement européen n’a pas eu exactement la même grille de lecture que la Commission européenne.

« Certains aspects de la législation ou des pratiques du Royaume-Uni n’ont pas été pris en considération par la Commission, ce qui a donné lieu à des projets de décisions d’exécution qui ne sont pas conformes au droit de l’Union », relève le texte.

Le Parlement avait à cette occasion exprimé « son inquiétude quant à l’application lacunaire voire souvent inexistante du RGPD par le Royaume-Uni alors qu’il était encore membre de l’Union ». Il cite un exemple, non sans se souvenir que la Cour de justice de l’Union européenne exige un examen non seulement des règles, mais également des pratiques.

• La CJUE invalide le Safe Harbor américain : quelles conséquences ?
• Retour sur l'invalidation du Privacy Shield par la justice européenne

L’équivalent anglais de notre CNIL avait ainsi classé « une plainte portant sur les technologies publicitaires après avoir organisé deux événements avec les parties prenantes », alors qu’un de ses rapports prévenait que «l’industrie des technologies publicitaires semble immature dans sa compréhension des exigences de protection des données ».

La résolution lui reproche de ne pas avoir exercé ses pouvoirs d’application.

Les eurodéputés ont également pointé du doigt le programme « Tempora » du Royaume-Uni, qui, « géré par le Centre national de communications (GCHQ), intercepte les communications en temps réel à partir des câbles à fibre optique de la dorsale internet et enregistre les données de manière à pouvoir les traiter et les consulter ultérieurement ».

Une « surveillance de masse du contenu et des métadonnées des communications [qui] a lieu indépendamment du fait qu’il existe des soupçons spécifiques ou des données cibles ».

En décembre, la Federal Trade Commission déposait plainte pour abus de position dominante contre Facebook. Le procès était d’autant plus attendu que le géant pouvait voir le ciel s’assombrir des deux côtés de l’Atlantique depuis un moment.

Le juge fédéral en charge de l’affaire à Washington, James Boasberg, a douché les espoirs de la FTC : quelle que soit la puissance détenue par Facebook, les avocats de la Commission ont échoué à démontrer ce qu’était un réseau social et comment ils avaient estimé la part de marché de l’entreprise à 60 %.

« L’incapacité de la FTC à offrir le moindre indicateur ou la moindre méthode utilisée pour calculer la part de marché de Facebook rend son assertion « d’au moins 60 % » trop spéculative et dénuée de fondements pour continuer », a déclaré le juge.

Deuxième coup dur pour l’accusation, le juge a rejeté une autre plainte dans une décision séparée : le procureur général avait attendu trop longtemps avant de se pencher sur les rachats d’Instagram et WhatsApp, respectivement effectués par Facebook en 2012 et 2014.

Chez Facebook bien sûr, le temps est au beau fixe : « Nous sommes heureux que les décisions d’aujourd’hui reconnaissent les défauts dans la plainte du gouvernement contre Facebook. Nous nous battons équitablement chaque jour pour mériter le temps et l’attention des gens et nous continuerons à fournir de très bons produits aux personnes et entreprises qui utilisent nos services ».

Les décisions du juge sont bien une défaite importante pour le gouvernement, et pour la FTC en particulier. Bien qu’elle ne soit pas responsable du résultat car venant tout juste d’arriver à la tête de la Commission, Lina Khan – connue pour ses vives positions antitrust – aura probablement à cœur de rectifier le tir.

Car rien n’est encore perdu. Le juge a laissé 30 jours à la Commission pour revoir sa plainte et expliquer aussi bien sa définition d’un réseau social que la méthode employée pour calculer cette part de marché. Sans ces informations élémentaires, les avocats ne pourront pas démontrer l’élément central de leur plainte : la distorsion de la concurrence qu'entraîne la masse imposante de Facebook.

L’affaire est suivie de très près aux États-Unis, notamment par les membres du Congrès. Politico cite notamment les cas des sénateurs républicains Josh Hawley et Ken Buck, qui ont exprimé leur « profonde déception » face à la décision du juge.

Pour Ken Buck en particulier, l’affaire est une preuve supplémentaire que « le Congrès a besoin de fournir des ressources et outils supplémentaires » pour la lutte antitrust contre « les sociétés Big Tech s’engageant dans une conduite anti-compétitive ».

Si Facebook doit respirer pour le moment, le danger est loin d’être écarté. Il existe désormais un consensus au sein du Congrès sur le problème que présentent des entreprises au pouvoir si important qu’elles semblent pouvoir échapper à toute législation. Le spectre d’une frappe bipartisane n’est pas à écarter, dans le sillage du fameux rapport qui torpillait les GAFAM l'automne dernier.

Le projet de loi renseignement est examiné dès ce matin au Sénat. 99 amendements ont été déposés pour la séance.

L’article 6 a déjà retenu les attentions de la commission des lois. Il permet aux préfets, mais également aux services du renseignement de se voir communiquer les données d’identification d’une personne ayant fait l’objet d’une mesure de soins psychiatriques sans consentement.

Ils peuvent également être destinataires des données relatives à sa situation administrative. Cette communication est fléchée : assurer le suivi d’une personne qui représente une menace grave pour la sécurité et l’ordre publics en raison de sa radicalisation à caractère terroriste.

Selon la commission des lois, cet article, finalement, donne « une base légale à l'accès des services de renseignement et des préfets du lieu de résidence aux informations obtenues par le croisement du fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT) et du fichier HOPSYWEB, qui recense les entrées et sorties d'hospitalisation sans consentement » (notre actualité).

Selon les services de renseignement, « des profils psychologiquement fragiles paraissent plus susceptibles de passer à l'acte dans le cadre d'un "djihadisme d'atmosphère" ».

Seulement, les sénateurs ont resserré à cette occasion le dispositif. S’ils jugent nécessaire que des échanges d'informations entre soignants et autorités administratives aient lieu « pour apporter une réponse adéquate tant en matière de suivi que de prévention des passages à l'acte », ils n’ont pas souhaité que les services du renseignement soient dans la boucle.

Plus exactement, ils considèrent qu’une telle extension ne peut se faire « sans que la nécessité et l'impact des informations communiquées soient clairement exposés ».

Dans un amendement qui sera discuté en séance, le gouvernement insiste pour ouvrir les vannes, estimant « indispensable que les services de renseignement puissent être destinataires de telles informations ».

Au cours du premier semestre 2020 seulement – ​​les données les plus récentes disponibles – Apple, Google, Facebook et Microsoft ont répondu ensemble à plus de 112 000 demandes de données de la part des autorités locales, étatiques et fédérales américaines, analyse AP.

Les entreprises ont accepté de transmettre certaines données dans 85 % de ces cas. Facebook, y compris son service Instagram, a représenté le plus grand nombre de divulgations. Au total, le nombre de demandes aurait ainsi « plus que triplé aux États-Unis depuis 2015 », s'étonne l'agence de presse.

« Tout se passe sur Facebook », explique un détective de Newport. « La quantité d'informations que vous pouvez obtenir des conversations des gens en ligne est insensée ». À mesure que Snapchat a gagné en popularité, les demandes de données émanant du gouvernement ont elles aussi augmenté, passant de 762 au premier semestre 2015 à près de 17 000 au cours des six premiers mois de 2020.

Les gens devenant de plus en plus dépendants des services Big Tech pour les aider à gérer leur vie, les autorités sont, dans le même temps, devenues beaucoup plus averties en matière de technologie qu'elles ne l'étaient il y a cinq ans, précise Cindy Cohn, directrice exécutive de l'Electronic Frontier Foundation. Elle parle même d' « âge d'or de la surveillance gouvernementale ».

Le Sénat a lancé depuis quelques jours une consultation des travailleurs des plateformes numériques. À la demande du groupe communiste, républicain, citoyen et écologiste (CRCE), cette phase s’inscrit dans la mission d’information relative à « l’uberisation de la société : quel impact des plateformes numériques sur les métiers et l’emploi ? ».

Les élus de la chambre haute « s’intéressent notamment aux conséquences de l’uberisation sur une grande diversité de secteurs d’activité économique, sur la polarisation du marché du travail ainsi que sur les conditions de travail des indépendants dont l’activité dépend des contraintes fixées par les processus algorithmiques des plateformes ».

La consultation veut connaitre plusieurs attentes des acteurs du secteur, en matière de rémunération, de dialogue social ou encore de protection sociale. L’enregistrement des réponses « ne contient aucune information permettant de vous identifier, à moins que l’une des questions ne vous le demande explicitement ».