Selon un avis rendu par l’avocat général près la Cour européenne de Justice, Facebook pourrait bientôt rendre des comptes aux régulateurs en matière de respect de la vie privée des différents pays de l’UE. Pour la Commission vie privée belge, il s’agit là d’une bonne nouvelle.
Dans un avis non-contraignant, l’avocat général près la Cour européenne de Justice indique que le réseau social devrait effectivement respecter les règles de confidentialité des différents pays membres de l’UE, d’autant plus s’il collecte et traite les données d’utilisateurs dans ces pays et s’il y possède une filiale physique telle un bureau de vente. L’avocat général contre ainsi l’argument de Facebook, selon lequel l’entreprise ne devrait respecter que les règles appliquées en Irlande, le pays où le géant technologique a établi son siège central.
De quoi s’agit-il?
Le point de départ de cette affaire réside dans un procès intenté à la Wirtschaftsakademie allemande. Ce programme de formation possède une page de fans sur Facebook et avait reçu en 2011 de la part de la Commission vie privée allemande l’ordre de retirer cette page. Pourquoi? Parce que la Wirtschaftsakademie, mais aussi Facebook avaient omis de signaler que des données personnelles d’utilisateurs étaient collectées. Après diverses péripéties, l’affaire a finalement abouti auprès de la Cour européenne de Justice. Cette dernière décidera d’ici quelques mois si Facebook doit s’en tenir aux règles de confidentialité des différents pays membres de l’UE.
La sentence prononcée dans cette affaire risque d’être importante aussi pour les finances de Facebook (et par extension d’un tas d’autres géants technologiques). Les régulateurs belge et néerlandais en matière de respect de la vie privée notamment ont infligé ces dernières années à Facebook des amendes pour avoir enfreint les règles de confidentialité. Le réseau social s’y est toujours opposé en brandissant l’argument par défaut qu’il ne doit rendre des comptes qu’à la Commission vie privée irlandaise, le pays où est installé son siège central.
“A présent que les autorités de contrôle de plusieurs pays membres ont décidé ces derniers mois d’infliger des amendes pécuniaires à Facebook pour violation des règles en matière de protection des données de ses utilisateurs, l’affaire examinée à présent offre à la Cour l’occasion de préciser l’ampleur des compétences d’intervention de la part d’une autorité de contrôle”, écrit l’avocat général. Dans ce cadre, il est important de savoir que les différents pays membres de l’UE disposent de règles assez divergentes quant au respect de la vie privée des utilisateurs. Celles appliquées en Irlande sont loin – et ce n’est pas un hasard – d’être les plus strictes.
Dans son avis, l’avocat général indique déjà que les pays membres peuvent appliquer leurs propres règles de confidentialité à Facebook, du moins aussi longtemps que des ‘activités’ sont réalisées sur leur propre territoire.
Ce qui est intéressant ici, c’est aussi le fait que l’avocat général évoque dans son avis une responsabilité partagée entre l’administrateur de la page des fans (la Wirtschaftsakademie donc) et le réseau proprement dit. De l’exploitant de la page de fans, on attend qu’il sélectionne avec soin un hébergeur. Et de Facebook, on attend qu’il ait des obligations en tant que réseau, parce qu’il est clair que le média social utilise également les données à ses propres fins.
L’avis de l’avocat général n’est certes pas contraignant, mais traditionnellement, la Cour européenne de Justice en tient compte.
En Belgique
Pour la Commission vie privée belge, il s’agit là d’une bonne nouvelle. La Commission a en 2015 intenté un procès à Facebook pour non-respect de la loi belge sur la vie privée. Le procès portait avant tout sur le traitement de données de non-utilisateurs de Facebook. Des données de personnes n’ayant pas de profil sur le site finissent par aboutir quand même sur le réseau social via des cookies ‘datr’ sur d’autres sites web. Ensuite, l’affaire fut étendue à la collecte et au traitement de données personnelles tant d’utilisateurs que de non-utilisateurs de Facebook.
Cette affaire a déjà connu quelques péripéties et fait à présent l’objet d’une procédure devant le Tribunal de première instance de Bruxelles. Le juge doit se prononcer sur la question de savoir si ce tribunal est compétent pour juger l’affaire en question. Avec l’avis de l’avocat général européen stipulant que toutes les autorités sont compétentes en cas d’activités réalisées sur leur territoire, la Commission vie privée attend en tout cas positivement la sentence. “Cet avis de l’avocat général n’est certes pas contraignant, mais nous espérons bien que le tribunal belge en tiendra à présent compte”, déclare Sarah Boulerhcha, responsable de la communication à la Commission vie privée, à Data News.
GDPR
Voilà pour l’avis dans l’état actuel des choses car en mai 2018, tout sera une fois encore modifié avec l’introduction du règlement européen GDPR. Or celui-ci semble donner raison à Facebook. Le GDPR introduira en effet un ‘système à un seul guichet’, une espèce de contrôleur principal qui assumera la décision finale à propos des règles de confidentialité auxquelles une entreprise doit se tenir. Et ce contrôleur final sera en général le pays dans lequel une entreprise aura son siège principal. Dans le cas de Facebook, il s’agirait donc de l’Irlande.
Retour à la case départ? L’avocat général s’y réfère en tout cas dans son avis, même s’il ajoute qu’il ne sera pas uniquement question de l’avis de ce contrôleur principal: “Comme Facebook a choisi d’établir son siège central pour l’UE en Irlande, l’autorité de contrôle de ce pays membre devra certes jouer un rôle important dans l’examen du respect par Facebook des règles de la directive 95/46, mais cela ne signifie pas, comme cette autorité le reconnaît elle-même, qu’elle disposera, dans le cadre du système actuel basé sur cette directive, d’une compétence exclusive eu égard aux activités de Facebook au sein de l’UE.” En bon français, cela signifie que l’Irlande deviendra probablement le seul ‘guichet’ pour Facebook, mais qu’elle devra idéalement tenir compte des avis des Commissions vie privée belge, néerlandaise et allemande. Dans la pratique, cela revient à dire que si l’Irlande reçoit l’année prochaine une demande d’un autre état membre à propos du traitement des données par Facebook, elle pourra elle-même choisir d’en tenir compte. Si elle n’en tient pas compte, le pays membre demandeur pourra alors se tourner vers une instance supérieure, à savoir l’European Data Protection Board.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici