RGPD
Depuis mai 2018, l’Europe dispose du standard le plus élevé pour la protection de la vie privée : le RGPD, Règlement Général sur la Protection des Données. Les citoyens de nombreux pays, y compris des États-Unis, comptent sur l’Europe pour contenir les abus des grandes entreprises de technologie.
Mais en un an, aucune action n’a été lancée contre ces entreprises. Pourquoi ?
IDPC
Parce que l’agence de protection des données de l’Irlande, Irish Data Protection Commission (IDPC), est responsable pour l’Union européenne, et que ce pays préfère choyer ces entreprises internationales qui font sa richesse. Souvent en contravention des régulations européennes, comme on a pu le constater avec les aides d’État illégales à Apple.
En effet, les législateurs européens ont décidé que le régulateur en charge est celui du pays dans lequel le gestionnaire des données d’une entreprise est situé : dans la plupart des cas l’Irlande.
En janvier, Marie-Laure Denis, devenue présidente de la CNIL en février, avait averti lors de son audition à l’Assemblée nationale :
« Pour répondre concrètement à votre question, à mon avis, la CNIL doit travailler de façon très coordonnée avec ses homologues, mais elle doit aussi veiller à ce que les marges de manœuvre, laissées par le règlement aux différents pays pour assouplir ou durcir la réglementation en matière de protection des données, ne deviennent pas un facteur qui risque d’entraîner une sorte de compétition, en termes d’attractivité sur la protection des données, entre les différents pays, comme c’est déjà le cas, par exemple, en matière fiscale. »
Une référence on ne peut plus claire à l’Irlande.
Entre mai 2018, date à laquelle le RGPD est devenu effectif, et janvier 2019, l’Irlande a reçu 1 928 réclamations sur des violations de la vie privée et des données personnelles. Elle a pris en tout et pour tout zéro mesure coercitive contre les entreprises concernées.
Prenons deux exemples : Facebook et Google, le duopole de la publicité numérique.
L’IDPC avait découvert, lors de son audit de 2011, bien avant le scandale Cambridge Analytica, que Facebook donnait un accès aux données des amis de millions d’utilisateurs à des développeurs externes. Sans aucune incidence sur Facebook.
L’IDPC a également été un formidable allié du réseau social contre les actions en justice de Max Schrems, qui accusa l’entreprise de violer ses droits dès 2011.
Depuis, les scandales s’accumulent semaine après semaine, sans qu’aucune action ne soit entreprise par l’IDPC. Ironie du sort, ce sont sans doute les États-Unis qui vont punir Facebook pour ses méfaits en premier.
Après avoir promis de ne pas échanger de données avec ses futures filiales pour obtenir le droit de les acquérir, Facebook a violé son engagement avec WhatsApp. L’Irlande, depuis, n’a pas réagi, alors qu’une cour allemande avait confirmé dès 2016, que les deux réseaux partageaient effectivement des données personnelles.
Elle avait alors interdit aux deux entreprises d’échanger des données, mais cette interdiction fut levée par le RGPD, qui faisait de l’Irlande l’autorité de supervision. Aujourd’hui, les autorités allemandes constatent que les échanges de données ont repris, et que l’IDPC n’a pas levé le petit doigt.
L’IDPC se justifie en se disant satisfaite que Facebook et WhatsApp ne partagent pas de données pour les buts de suggestions d’amis ou de publicité améliorée, comme si c’était la condition édictée par le RGPD.
Facebook en a profité pour réintroduire son outil de reconnaissance faciale, qui avait été interdit dans l’Union européenne, de peur qu’il soit exploité pour pister les personnes sans leur consentement.
L’entreprise promet de ne pas utiliser les données des photos avant de recevoir le consentement de ses utilisateurs. Mais d’autres régulateurs ainsi que des avocats spécialisés considèrent que le simple stockage de photo sans consentement est une violation du RGPD.
Là encore, malgré un examen préliminaire, l’IDPC n’a toujours pas lancé d’enquête officielle.
Google a soulevé l’an dernier la colère d’autres régulateurs en n’obtenant pas de consentement de ses utilisatrices et de ses utilisateurs avant de partager leurs données entre ses nombreux services, du moteur de recherche à YouTube, de Gmail à Google Photos.
La CNIL imposa alors à Google sa première amende sous le RGPD, de 50 millions d’euros. Un signal fort, à défaut d’un montant dissuasif.
D’autres critiques, au premier chef l’agence de protection des données fédérale allemande, exigent que l’IDPC prenne des mesures.
Mais cette dernière, conformément à son habitude, ne fait rien.
Inspiré de: Politico