Max Schrems photographié par Lukas Beck
Max Schrems. Photo: Lukas Beck

Schrems attaque Facebook, Google, Instagram et WhatsApp pour consentement forcé

Aujourd’hui, le Règlement général sur la protection des données entre en vigueur. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

Il impose en particulier aux entreprises et aux organisations d’obtenir un consentement explicite et positif sur le traitement des données personnelles des citoyens européens.

Max Schrems, un jeune avocat autrichien qui s’est déjà illustré dans la défense des données personnelles des citoyens de l’Union européenne, n’a pas perdu de temps : il attaque Facebook, Google, Instagram et WhatsApp pour consentement forcé.

Ces entreprises n’offrent en effet pas d’alternative, en contravention du règlement : l’utilisateur est invité à accepter des conditions d’utilisation intrusives, ou de perdre l’accès au service, ce qui n’est pas un choix.

Pour Schrems, il faut deux options : un ‘oui’et un ‘non’.

Toute entreprise reconnue coupable de ne pas respecter le RGPD encourt une amende pouvant atteindre 4 % de son chiffre d’affaires annuel: autant qu’une amende antitrust.

Andrea Jelinek, en charge de l’agence de protection des données de l’Autriche, et à la tête du nouveau Comité européen de la protection des données (CEPD/EDPB), l’autorité européenne de la protection des données qui remplace le Groupe de travail Article 29, a commenté :

« Si le consentement est forcé, il n’y a pas de consentement. »

Via sa nouvelle association à but non lucratif noyb (None of your business, ne te regarde pas), Schrems a déposé quatre plaintes :

Contre Google pour Android devant la CNIL en France ;

Contre Instagram devant la DPA en Belgique ;

Contre WhatsApp devant la HmbBfDI en Allemagne ;

Contre Facebook devant la DSB en Autriche.

Schrems s’attend à ce que l’Irish Data Protection Commissionner s’implique dans les plaintes : les entreprises américaines vont sans doute tenter de faire valoir que comme leur filiale européenne est en Irlande, c’est le droit irlandais qui prime.

Il nous semble que cette initiative est excellente, puisqu’elle va mettre à l’épreuve le RGPD, ainsi que la volonté ou non du pouvoir politique d’infliger, le cas échéant, des amendes dissuasives.

Avec ces plaintes, les citoyens européens n’auront pas à attendre que leurs agences de protection de données s’intéressent aux cas litigieux, ce qui, par le passé, a souvent pris bien trop d’années.