POLITIQUE & INSTITUTIONS — Institutions

protection des données

Irlande (Facebook) et Luxembourg (Amazon), chefs de file menacés



Le régulateur irlandais s’est officiellement saisi, mercredi soir, du nouveau leak Facebook, qui concerne 188.000 comptes luxembourgeois, dont celui du Premier ministre Xavier Bettel (DP). (Photo: Shutterstock)

Le régulateur irlandais s’est officiellement saisi, mercredi soir, du nouveau leak Facebook, qui concerne 188.000 comptes luxembourgeois, dont celui du Premier ministre Xavier Bettel (DP). (Photo: Shutterstock)

Devancé par le Land de Hambourg, le régulateur irlandais a reconnu, mercredi soir, que le leak des données de 500 millions de comptes Facebook pourrait enfreindre le RGPD. De Max Schrems à la Belgique, les lenteurs du «chef de file» européen sont dénoncées partout. Et se profile un arrêt très attendu de la CJUE.

Le timing est géré avec une précision d’horloger. Les mots sont choisis avec soin. Le responsable de la protection des données irlandais (DPO) a indiqué, mercredi soir dans un communiqué, que le règlement général sur la protection des données (RGPD) pourrait avoir été malmené par Facebook dans le cadre du leak des données de 500 millions de comptes, dont 188.000 luxembourgeois . Les jeux de données s’étaient retrouvés en vente sur internet et peuvent avoir de graves conséquences, comme le vol d’identité ou même l’accès à certaines données ou certains services financiers.

Autrement dit, contrairement à ce que prétendait Facebook dans ses premières réponses sur le sujet, certaines données ont été extraites après l’entrée en vigueur du RGPD, en mai 2018, et le groupe de Mark Zuckerberg n’a pas forcément pris de mesures adéquates pour préserver les données et pour alerter ses utilisateurs. Selon les données luxembourgeoises que nous avons pu consulter, les données d’au moins un millier de comptes se trouvent dans cette situation . Cela suffit pour demander des comptes à Facebook, pour Facebook, Messenger et Instagram, ajoute le DPO irlandais.

Mais ouvrir une enquête ne suffit plus à des opinions publiques qui n’en finissent pas de prendre connaissance du Far West dans la gestion de leurs données personnelles. Le même DPO irlandais est contesté par Max Schrems et son organisation de lutte pour la protection des données, au motif qu’il prend trop de temps pour agir . Si les deux parties n’en sont pas encore aux noms d’oiseaux, les uns et les autres publient chaque jour de nouvelles parties de leurs échanges de courriers.

L’urgence à agir

Et l’activiste autrichien n’est plus seul. Mercredi aussi, le régulateur de Hambourg, Land dans lequel Facebook a son siège allemand, a entamé des poursuites au nom des 60 millions d’utilisateurs de l’application de messagerie instantanée Whatsapp, qui appartient à Facebook. Le régulateur s’appuie sur une notion particulière: l’urgence à agir. À un mois de l’entrée en vigueur des nouvelles conditions d’utilisation de Whatsapp, Facebook va devoir être plus convaincante sur son énergie à protéger les données personnelles qu’elle détient et à ne pas en stocker plus qu’il n’en faut pour accéder à ses services.

L’urgence à agir n’est encore quasiment pas utilisée en Europe, trois ans après l’entrée en vigueur du RGPD. Pour l’instant, une fois mis en place, les régulateurs nationaux s’en sont tenus au dispositif qui avait donné lieu à beaucoup de débats entre les différentes autorités politiques européennes: quand un régulateur est confronté à un problème majeur avec une société, il doit s’en remettre au régulateur qui est dans le pays où cette société a établi son siège social quand elle a un siège social en Europe.

Dans le cas de Facebook, comme dans le cas de Linkedin, tous les deux touchés par un leak de même ampleur, ce sont Dublin et l’Irlande. Dans le cas d’Amazon, qui pourrait être touchée à son tour selon des indiscrétions d’anciens cadres dévoilées par Politico et reprises dans une question parlementaire de Viviane Reding, ce serait Luxembourg. Dès mai 2018, l’association française La Quadrature du Net avait adressé un courrier à la CNPD à propos d’Amazon, sans que l’on sache exactement quel sort lui a été réservé .

Schrems et le Land de Hambourg soutiennent indirectement la Belgique dans l’idée que si le «chef de file» n’agit pas dans le délai d’un mois qui lui est imparti par le RGPD, un régulateur national devrait pouvoir se substituer à lui et agir.

Car la Belgique, avant de désavouer publiquement l’Irlande toujours à propos de Facebook, a demandé à la Cour de justice de l’Union européenne de se prononcer sur cette question. Le 13 janvier, l’avocat général, dont les recommandations sont suivies par la Cour dans 80 à 90% des cas, n’a pas écarté la possibilité, pour une autorité nationale, d’agir contre une société dans certaines conditions, si le chef de file ne le fait pas.

Cinq raisons de contourner un chef de file

Michal Bobek esquisse cinq situations dans lesquelles c’est possible:

– si le problème avec les données échappe au RGPD (pas en relation avec le droit de l’Union, lorsque le traitement des données est effectué par une personne physique et non une société ou quand le traitement des données relève de la sécurité nationale ou de la prévention de la criminalité);

– si le problème met en danger une autorité nationale;

– si la société «en infraction» présumée n’a pas de siège européen en Europe;

– si le régulateur national est soit – nous citons – «confronté à l’inertie persistante de l’autorité-chef de file compétente», soit quand la situation est présumée urgente. L’avocat général ne le dit pas, mais on peut imaginer les menaces qui pèsent sur les individus concernés par le leak dans l’accès à leur identité ou à leurs coordonnées bancaires;

– si le chef de file décide de ne pas poursuivre, le régulateur national doit s’entendre avec lui pour se substituer à lui.

La date de l’arrêt de cette affaire n’est pas encore fixée, mais elle aura une portée toute particulière.

Même s’il faut entendre la position du régulateur luxembourgeois de la donnée, la CNPD, dont les commissaires répètent invariablement que la question n’est pas forcément d’infliger des amendes en dizaines de millions d’euros, mais de parvenir à une modification des comportements. Notamment des géants des technologies, pour lesquels c’est plus compliqué: la donnée personnelle est le carburant de leur enrichissement.