AccueilActualités informatiqueRÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES : L'autorité irlandaise voulait imposer...

RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES : L’autorité irlandaise voulait imposer l’astuce opt-in de Facebook dans toute l’UE

L’autorité irlandaise de protection des données a défendu au sein du Comité européen de la protection des données (EDSA) des lignes directrices pour l’interprétation de la clause de consentement du règlement général sur la protection des données (RGPD), qui devraient précisément soutenir la ligne de conduite controversée de Facebook. Les réseaux sociaux auraient ainsi pu, d’une manière générale, intégrer facilement dans leurs conditions générales d’utilisation (CGU) l’opt-in pour des traitements de données à grande échelle, y compris le suivi et le profilage pour la publicité personnelle. Mais d’autres contrôleurs au sein de l’organe de surveillance supérieur, à l’échelle de l’UE, ont empêché cela.

C’est ce que révèlent des documents internes de l’EDSA de Facebook concernant l’initiative de la Commission de protection des données (DPC) en Irlande, responsable de Facebook en Europe, que l’organisation autrichienne de défense des droits civils Noyb a reçus sur la base de demandes de liberté d’information et qu’elle vient de publier dans le cadre de ses « lectures de l’Avent ». La DPC a donc lancé en 2018 un groupe de travail auprès de l’EDSA sur l’article 6 du RGPD, qui traite de la « licéité du traitement », notamment pour l’exécution d’un contrat.

Sommaire

Parallèlement à l’entrée en vigueur du RGPD en mai 2018, Facebook avait surpris par une approche inhabituelle : l’exploitant de la plateforme n’a soudainement plus exigé d’opt-in spécifique pour ses formes étendues de traitement des données personnelles. Il a plutôt intégré automatiquement le consentement tacite dans l’acceptation des conditions générales. Noyb a déposé une plainte auprès de la DPC. On savait déjà que les contrôleurs irlandais soutenaient cette astuce de consentement de Facebook.

Avec le groupe EDSA qu’elle dirigeait, la DPC voulait que son point de vue soit confirmé et ancré dans toute l’UE. D’autres autorités de contrôle européennes non mentionnées se sont jointes au groupe. La première réunion a eu lieu en avril 2018. Puis, en octobre 2018, l’autorité irlandaise a envoyé une lettre dans laquelle elle esquissait une approche prétendument « stricte », mais également fondée sur la « liberté contractuelle ». En fin de compte, cela devrait permettre aux opérateurs de plateformes de contourner le consentement éclairé et volontaire exigé par le RGPD.

La DPC a également transmis un projet de lignes directrices de l’EDSA qui devrait permettre aux entreprises – comme Facebook – d’inclure une clause correspondante dans leurs conditions générales. Le traitement des données y était considéré comme « nécessaire » pour le contrat, de sorte qu’un opt-in explicite n’était plus requis.

D’autres autorités de protection des données, dont les noms ont été masqués dans les documents publiés, se sont élevées contre ce projet. « Cette proposition semble autoriser la monétisation des données à caractère personnel et le contournement des autres bases juridiques », peut-on lire. « Nous estimons que cette interprétation sape le système et l’esprit du RGPD ». Le RGPD serait ainsi « réduit à un instrument pro-forma », a critiqué un autre contrôleur. « Cela va à l’encontre de tout ce en quoi nous croyons (désolé, mais c’est vrai) », a rétorqué un autre. Les lignes directrices de l’organe précurseur de l’EDSA s’y opposent également.

Dans les lignes directrices pertinentes publiées en 2019, l’EDSA a finalement supprimé toute référence aux réseaux sociaux et une option permettant de contourner le consentement par le biais d’un prétendu contrat. Selon Noyb, la DPC voulait apparemment encore retarder la publication de cette aide à l’interprétation, qui contredisait son accord avec Facebook. Elle n’a toutefois pas réussi à le faire.

Une lettre de Facebook à la DPC, marquée comme « strictement confidentielle » mais confiée à Noyb en vertu de la loi autrichienne sur les procédures administratives générales, confirme en outre que l’autorité irlandaise a eu dix réunions avec des représentants du groupe en 2017 et 2018 autour de la procédure de consentement. Le résultat des efforts de lobbying de Facebook a été l’orientation disputée de la surveillance nationale.

Pour le fondateur de Noyb, Max Schrems, les documents montrent « un plan clair » de la part de l’opérateur de réseau et de la DPC pour saper le RGPD. Les contrôleurs irlandais n’ont « clairement pas agi dans l’intérêt de la protection des données ». Un porte-parole de la DPC a déclaré au magazine en ligne Politico qu’il n’était « absolument pas inhabituel » que les régulateurs aient des avis divergents lors de l’élaboration de lignes directrices. Ceux qui s’en offusquent ne comprennent pas le processus de prise de décision de l’EDSA. Facebook n’a pas souhaité commenter l’affaire.

Plus d'articles