La Data Protection Commission (DPC) irlandaise est au sein de l'UE responsable de toutes les affaires de respect de la vie privée impliquant une série de géants technologiques qui possèdent leur siège européen en Irlande, dont Facebook. La commission est cependant critiquée depuis assez longtemps déjà pour sa lenteur de réaction et son approche parfois très laxiste des infractions commises.

Or voici qu'une nouvelle plainte vient d'être déposée à son encontre. Les activistes en confidentialité de noyb ont en effet introduit en Autriche une plainte pour corruption pour ce qu'ils qualifient du 'chantage procédural'. La DPC irlandaise empêcherait le noyb de publier des documents de ses plaintes à l'encontre de Facebook.

Quel est le problème?

Noyb est le groupe de défense du respect de la vie privée entourant l'activiste autrichien Max Schrems. Il est possible que vous connaissiez le groupe comme étant l'organisation qui avait précédemment déjà entamé des procédures judiciaires contre le traitement des données de Facebook dans plusieurs pays, mais aussi contre Apple, Google, Netflix et d'autres. La victoire la plus significative de Schrems est l'abolition par la Cour européenne du traité des données conclu entre l'UE et les Etats-Unis, parce qu'il n'offrait pas suffisamment de garanties pour la protection des données personnelles.

Ce même groupe vient à présent de déposer en Autriche une plainte à charge du régulateur irlandais, la DPC. Noyb a lancé une série de procédures à son encontre à propos de la façon dont elle traite les infractions à la confidentialité commises par Facebook et d'autres entreprises. L'a.s.b.l. déclare que le régulateur tente de la contraindre à une obligation de réserve. Cela signifierait que noyb ne peut publier aucun document procédural concernant ses plaintes, en ce compris d'éventuelles remarques d'autres parties impliquées dans ces affaires, telles Facebook, noyb même et d'autres commissions vie privée européennes, qui sont aussi entendues dans ce genre de procédure.

Droit à être entendu

Selon noyb, c'est illégal dans le cas d'une procédure publique. Si l'organisation ne signe pas l'obligation de réserve, à en croire le groupe, la DPC menace de ne pas l'entendre dans le cadre de la plainte qu'il a déposée. Dans son courrier envoyé à noyb, la DPC écrit que le devoir de réserve est nécessaire pour permettre une libre discussion dans une procédure de contentieux encore en cours. L'idée sous-jacente semble être que les remarques et arguments dans le litige ne sont pas encore définitifs.

De son côté, Max Schrems déclare dans un communiqué que la DPC sait que c'est son devoir légal d'écouter les arguments de noyb, mais qu'elle y associe des conditions via son courrier. 'Il s'agit purement d'une autorité qui exige que nous renoncions à notre liberté d'expression en échange de droits procéduraux', affirme Schrems.

Autorisation volontaire

La demande de la DPC semble arriver spécifiquement, après que noyb a publié des documents d'une décision temporaire prise dans le cadre d'une des nombreuses affaires impliquant Facebook. Cette affaire porte sur l'autorisation que les utilisateurs doivent donner pour recevoir des publicités personnalisées. Facebook déclare qu'elle conclut avec ces utilisateurs un contrat pour l'envoi de ce genre de publicités, ce qui fait que les règles GDPR ne s'appliquent pas. Or il s'agit là d'un contrat à propos duquel l'entreprise n'a en fait jamais communiqué jusqu'à présent.

Selon Schrems, il est question d'une 'autorisation forcée'. Le contrat que Facebook présente, est le suivant: 'autoriser les annonces sous peine de supprimer le compte de l'utilisateur', selon lui, ce qui va à l'encontre de la règle selon laquelle l'autorisation doit être donnée volontairement conformément aux directives en matière de confidentialité. De documents publiés par noyb sur son site, il ressort que la DPC envisage d'approuver l'argument de Facebook, mais noyb propose de lui infliger une amende de 32 millions d'euros comme sanction pour un manque de communication transparente à propos dudit 'contrat'. La DPC a déjà demandé que soient retirés ces documents du site web de noyb.

Noyb n'est du reste pas le seul acteur à se voir imposer une obligation de réserve de la part de la DPC. L'Irish Council for Civil Liberties aurait en effet reçu la même requête suite à sa plainte contre la technologie publicitaire de Google. Un refus de signer signifierait que le plaignant ne peut plus visionner de documents.

Est-ce illégal?

Selon noyb, la DPC ne peut obliger de garder des documents secrets et ce, conformément à la loi autrichienne ou irlandaise, ce qui ne peut que profiter à Facebook. En outre, cela va particulièrement loin le fait de ne pas permettre à l'une des parties impliquées d'avoir accès à des pièces de la procédure. C'est précisément cette tendance à la partialité qui explique aussi pourquoi la plainte pour corruption a été déposée.

Mais la démarche de la DPC est-elle vraiment aussi illégale que le prétend noyb? En soi, ce n'est pas courant, certainement pas en Belgique, selon Heidi Waem, head of data protection practice au sein du bureau d'avocats DLA Piper Brussels: 'Les instances administratives, telles l'Autorité de protection des données, ont effet le devoir d'écouter les parties concernées, avant de prendre une mesure. Or une obligation de réserve pourrait l'entraver.' Ce n'est possible que dans des cas exceptionnels. 'Reste à savoir évidemment si cette façon de faire résistera au contrôle relativement rigoureux de la Cour des Marchés (le juge d'appel pour les décisions prises par l'Autorité de protection des données).' L'Autorité belge de protection des données semble en tout cas ne pas avoir demandé d'obligation de réserve, ne serait-ce que parce que le devoir d'audition et l'impartialité sont absolument essentiels pour l'ensemble du concept juridique. Noyb fait entre-temps observer que la DPC n'a provisoirement présenté aucune base judiciaire pour sa demande de discrétion et qu'elle ne semble pas donner d'arguments non plus pour une telle procédure quand même exceptionnelle.

Qu'en est-il à présent?

Tout cela jette en tout cas de l'huile sur le feu pour ce qui est de l'idée que la DPC se montre particulièrement prudente dans son approche des géants technologiques qui possèdent leurs quartiers généraux en Irlande. Le régulateur irlandais a plusieurs affaires en cours de traitement, dont celle relative aux transferts de données entre l'UE et les Etats-Unis introduite en 2013 déjà. Avec l'arrivée du GDPR en mai 2018, toute une série d'affaires sont venues s'y ajouter.

Au cours des trois années qui se sont écoulées depuis l'introduction du GDPR, la DPC n'a cependant encore rendu qu'un seul jugement à l'encontre de la société-mère de Facebook, Meta. WhatsApp a fait l'objet d'une amende pour avoir enfreint des directives de transparence. Dans ce cas, la DPC voulait exiger 50 millions d'euros, un montant qui est pour le moins faible pour une entreprise (mère) qui enregistre 32 milliards de dollars de bénéfice annuel. Cette amende fut finalement portée à 225 millions d'euros suite à l'intervention des autres régulateurs de l'UE.

On ne sait aujourd'hui pas clairement combien de temps il faudra encore attendre, avant que toutes les autres plaintes soient traitées. En soi, cette lenteur est considérée comme une forme d'opposition de la part d'organisations de défense de la confidentialité. Le genre de chose qui ne peut que profiter surtout aux entreprises technologiques. Plus la DPC mettra en effet du temps à se pencher sur les dossiers, plus ces entreprises continueront d'agir comme elles l'ont toujours fait et pourront collecter des données.

La Data Protection Commission (DPC) irlandaise est au sein de l'UE responsable de toutes les affaires de respect de la vie privée impliquant une série de géants technologiques qui possèdent leur siège européen en Irlande, dont Facebook. La commission est cependant critiquée depuis assez longtemps déjà pour sa lenteur de réaction et son approche parfois très laxiste des infractions commises.Or voici qu'une nouvelle plainte vient d'être déposée à son encontre. Les activistes en confidentialité de noyb ont en effet introduit en Autriche une plainte pour corruption pour ce qu'ils qualifient du 'chantage procédural'. La DPC irlandaise empêcherait le noyb de publier des documents de ses plaintes à l'encontre de Facebook.Noyb est le groupe de défense du respect de la vie privée entourant l'activiste autrichien Max Schrems. Il est possible que vous connaissiez le groupe comme étant l'organisation qui avait précédemment déjà entamé des procédures judiciaires contre le traitement des données de Facebook dans plusieurs pays, mais aussi contre Apple, Google, Netflix et d'autres. La victoire la plus significative de Schrems est l'abolition par la Cour européenne du traité des données conclu entre l'UE et les Etats-Unis, parce qu'il n'offrait pas suffisamment de garanties pour la protection des données personnelles.Ce même groupe vient à présent de déposer en Autriche une plainte à charge du régulateur irlandais, la DPC. Noyb a lancé une série de procédures à son encontre à propos de la façon dont elle traite les infractions à la confidentialité commises par Facebook et d'autres entreprises. L'a.s.b.l. déclare que le régulateur tente de la contraindre à une obligation de réserve. Cela signifierait que noyb ne peut publier aucun document procédural concernant ses plaintes, en ce compris d'éventuelles remarques d'autres parties impliquées dans ces affaires, telles Facebook, noyb même et d'autres commissions vie privée européennes, qui sont aussi entendues dans ce genre de procédure.Selon noyb, c'est illégal dans le cas d'une procédure publique. Si l'organisation ne signe pas l'obligation de réserve, à en croire le groupe, la DPC menace de ne pas l'entendre dans le cadre de la plainte qu'il a déposée. Dans son courrier envoyé à noyb, la DPC écrit que le devoir de réserve est nécessaire pour permettre une libre discussion dans une procédure de contentieux encore en cours. L'idée sous-jacente semble être que les remarques et arguments dans le litige ne sont pas encore définitifs.De son côté, Max Schrems déclare dans un communiqué que la DPC sait que c'est son devoir légal d'écouter les arguments de noyb, mais qu'elle y associe des conditions via son courrier. 'Il s'agit purement d'une autorité qui exige que nous renoncions à notre liberté d'expression en échange de droits procéduraux', affirme Schrems.La demande de la DPC semble arriver spécifiquement, après que noyb a publié des documents d'une décision temporaire prise dans le cadre d'une des nombreuses affaires impliquant Facebook. Cette affaire porte sur l'autorisation que les utilisateurs doivent donner pour recevoir des publicités personnalisées. Facebook déclare qu'elle conclut avec ces utilisateurs un contrat pour l'envoi de ce genre de publicités, ce qui fait que les règles GDPR ne s'appliquent pas. Or il s'agit là d'un contrat à propos duquel l'entreprise n'a en fait jamais communiqué jusqu'à présent.Selon Schrems, il est question d'une 'autorisation forcée'. Le contrat que Facebook présente, est le suivant: 'autoriser les annonces sous peine de supprimer le compte de l'utilisateur', selon lui, ce qui va à l'encontre de la règle selon laquelle l'autorisation doit être donnée volontairement conformément aux directives en matière de confidentialité. De documents publiés par noyb sur son site, il ressort que la DPC envisage d'approuver l'argument de Facebook, mais noyb propose de lui infliger une amende de 32 millions d'euros comme sanction pour un manque de communication transparente à propos dudit 'contrat'. La DPC a déjà demandé que soient retirés ces documents du site web de noyb.Noyb n'est du reste pas le seul acteur à se voir imposer une obligation de réserve de la part de la DPC. L'Irish Council for Civil Liberties aurait en effet reçu la même requête suite à sa plainte contre la technologie publicitaire de Google. Un refus de signer signifierait que le plaignant ne peut plus visionner de documents.Selon noyb, la DPC ne peut obliger de garder des documents secrets et ce, conformément à la loi autrichienne ou irlandaise, ce qui ne peut que profiter à Facebook. En outre, cela va particulièrement loin le fait de ne pas permettre à l'une des parties impliquées d'avoir accès à des pièces de la procédure. C'est précisément cette tendance à la partialité qui explique aussi pourquoi la plainte pour corruption a été déposée.Mais la démarche de la DPC est-elle vraiment aussi illégale que le prétend noyb? En soi, ce n'est pas courant, certainement pas en Belgique, selon Heidi Waem, head of data protection practice au sein du bureau d'avocats DLA Piper Brussels: 'Les instances administratives, telles l'Autorité de protection des données, ont effet le devoir d'écouter les parties concernées, avant de prendre une mesure. Or une obligation de réserve pourrait l'entraver.' Ce n'est possible que dans des cas exceptionnels. 'Reste à savoir évidemment si cette façon de faire résistera au contrôle relativement rigoureux de la Cour des Marchés (le juge d'appel pour les décisions prises par l'Autorité de protection des données).' L'Autorité belge de protection des données semble en tout cas ne pas avoir demandé d'obligation de réserve, ne serait-ce que parce que le devoir d'audition et l'impartialité sont absolument essentiels pour l'ensemble du concept juridique. Noyb fait entre-temps observer que la DPC n'a provisoirement présenté aucune base judiciaire pour sa demande de discrétion et qu'elle ne semble pas donner d'arguments non plus pour une telle procédure quand même exceptionnelle.Tout cela jette en tout cas de l'huile sur le feu pour ce qui est de l'idée que la DPC se montre particulièrement prudente dans son approche des géants technologiques qui possèdent leurs quartiers généraux en Irlande. Le régulateur irlandais a plusieurs affaires en cours de traitement, dont celle relative aux transferts de données entre l'UE et les Etats-Unis introduite en 2013 déjà. Avec l'arrivée du GDPR en mai 2018, toute une série d'affaires sont venues s'y ajouter.Au cours des trois années qui se sont écoulées depuis l'introduction du GDPR, la DPC n'a cependant encore rendu qu'un seul jugement à l'encontre de la société-mère de Facebook, Meta. WhatsApp a fait l'objet d'une amende pour avoir enfreint des directives de transparence. Dans ce cas, la DPC voulait exiger 50 millions d'euros, un montant qui est pour le moins faible pour une entreprise (mère) qui enregistre 32 milliards de dollars de bénéfice annuel. Cette amende fut finalement portée à 225 millions d'euros suite à l'intervention des autres régulateurs de l'UE.On ne sait aujourd'hui pas clairement combien de temps il faudra encore attendre, avant que toutes les autres plaintes soient traitées. En soi, cette lenteur est considérée comme une forme d'opposition de la part d'organisations de défense de la confidentialité. Le genre de chose qui ne peut que profiter surtout aux entreprises technologiques. Plus la DPC mettra en effet du temps à se pencher sur les dossiers, plus ces entreprises continueront d'agir comme elles l'ont toujours fait et pourront collecter des données.