RGPD : les géants du web déjà dans la tourmente

À peine le règlement européen est-il entré en vigueur que les grandes entreprises du web comme Facebook, Google, WhatsApp et Instagram, font déjà l’objet d’une plainte pour non- respect des obligations liées au traitement des données personnelles.

L’avocat autrichien Max Schrems, en croisade contre les multinationales

Déjà connu pour avoir réussi à faire invalider le Safe Harbor, l'accord qui régissait les échanges de données entre l'Europe et les États-Unis, et pour avoir déjà porté plainte contre Facebook pour conservation abusive des données collectées auprès de ses utilisateurs, Max Schrems n’a pas perdu de temps pour attaquer en justice les réseaux sociaux et le moteur de recherche. C’est ainsi qu’au lendemain de l’entrée en vigueur du RGPD, il a déposé des plaintes via son organisation Noyb.eu contre Google en France, Instagram en Belgique, Facebook en Autriche et WhatsApp en Allemagne pour acceptation forcée de leurs nouvelles politiques de confidentialité.

L’impossibilité pour l’utilisateur de refuser le traitement des données au cœur de la plainte

Mis en application le 25 mai 2018, le RGPD impose aux entreprises de nouvelles obligations liées au traitement des données à caractère personnel de leurs utilisateurs. Elles doivent par ailleurs recueillir leur consentement avant de manipuler leurs données et les internautes doivent pouvoir refuser librement le traitement. Noyb.eu considère que Google, Facebook, et ses deux filiales Instagram et WhatsApp ne respectent pas ces obligations mises à leur charge par le RGPD.

Concrètement, tout utilisateur d’un site Internet doit être en mesure d’accepter librement que ses données puissent être utilisées, ce qui exclut la traditionnelle case à cocher « j’accepte » sans explications aucune. Une information claire doit être donnée et l’acceptation du traitement doit être sans équivoque pour que le recueil du consentement soit valide. Or l’avocat autrichien Max Shrems soutient que les entreprises visées par ses plaines violent ces obligations. Les cases à cocher avec la mention « j’accepte » sont se multipliées et les internautes qui refusent de les cocher risquent purement et simplement de voir leurs comptes suspendus. Ce qui revient à les obliger à accepter le recueil, le traitement et le stockage de leurs données personnelles. Le RGPD a justement été mis en place pour empêcher le consentement forcé à un service pour pouvoir l’utiliser. L’accès aux services ne peut plus être conditionné au fait que l’internaute accepte que l’entreprise utilise ses données comme elle le souhaite. Les autorités de régulation comme la Cnil en France vont devoir se pencher sur la question et dire si oui ou non, les grands noms d’Internet sont en conformité avec le RGPD.

Quelles sanctions en cas de non-respect des dispositions du règlement européen ?

En cas de non-respect des dispositions du RGPD, les entreprises risquent une amende pouvant s’élever à 20 millions d’euros ou correspondant à 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu. C’est donc cette seconde option qui s’appliquera si les multinationales concernées par la plainte sont jugées coupables d’infraction. Une somme qui pourrait s’élever à 3.7 milliards d’euros pour Google et 1.3 milliards pour Facebook.

La Quadrature du Net, une association de défense des libertés numériques, suit la voie tracée par Max Schrems et engage à son tour une procédure collective devant la Cnil contre Apple, LinkedIn, Amazon, Google et Facebook.