Données personnelles: pourquoi la Cnil pourrait devenir plus puissante face à Facebook

C’est une décision qui pourrait avoir des conséquences importantes sur la protection des données personnelles des Européens. Ce 15 juin, la Cour de justice de l'Union européenne (CJUE) a publié un arrêt concernant l’autorité belge de protection des données personnelles, qui poursuivait Facebook en justice.

Le géant américain, basé en Irlande, estimait que seules les autorités irlandaises pouvaient être saisies. La CJUE confirme que les autorités de protection des données personnelles de chaque pays de l’Union européenne peuvent attaquer Facebook en justice.

Pistage des internautes

L’arrêt publié par la CJUE concerne des poursuites des autorités belges contre Facebook datant de 2015, en raison du traçage par Facebook des internautes, qu’ils aient un compte ou non, grâce aux cookies présents sur les sites Web, le tout sans leur consentement.

Une pratique désormais plus encadrée, légalement grâce au règlement européen (RGPD) sur les données personnelles, mais aussi techniquement par certains systèmes d’exploitation comme iOS.

Mis en place en mai 2018, le RGPD protège davantage les données personnelles des internautes, avec à la clef des contraintes importantes pour les géants du numérique en matière de transparence et d’information. Mais le texte prévoit également un mécanisme dit “de guichet unique”, qui consiste à désigner une seule autorité (“chef de file”) chargée des données personnelles pour superviser les activités des entreprises présentes dans l’UE.

Dans son arrêt rendu mardi, la CJUE précise les conditions d'exercice des autorités nationales (comme la Cnil en France), et juge que "sous certaines conditions" elles peuvent saisir la justice de leur État concernant un traitement de données transfrontalier.

La Cour de justice estime notamment que lorsqu'une autorité nationale de contrôle - qui n'est pas "chef de file" - a intenté une action en justice avant l'entrée en vigueur du RGPD, "cette action peut être maintenue, en vertu du droit de l'Union". C'est précisément le cas de figure belge.

Mais le texte prévoit d’autres circonstances permettant à une autorité locale de poursuivre Facebook ou une entreprise gérant des données personnelles, notamment en cas de blocage ou de manque de coopération de l’autorité “chef de file”.

Facebook suivi de près par la Cnil

En France, Facebook est notamment dans le viseur de la Cnil en raison d’une gigantesque fuite de numéros de téléphone de quelque 20 millions de Français, après l’exploitation d’une faille de sécurité par des hackers. Contrairement à ce que préconise le RGPD, l’entreprise n’a pas alerté les internautes concernés.

La multinationale a également été critiquée pour le déploiement d’une mise à jour de WhatsApp impliquant une collecte de données de paiements à destination de Facebook, sans information claire à destination des utilisateurs. Là encore, le principe d’un consentement “libre et éclairé” est pourtant au cœur du RGPD.

L’arrêt de la CJUE constitue "une évolution positive" dans la lutte pour une meilleure protection des données, a salué le Bureau européen des unions de consommateurs (BEUC).

Pour cette fédération d'associations de 32 pays en Europe, le guichet unique du RGPD comporte "des lacunes". "La plupart des géants de la technologie (les "Big Tech") sont basés en Irlande, et ce ne devrait pas être à la seule autorité de ce pays de protéger 500 millions de consommateurs dans l'UE", a-t-il relevé.

Facebook s'est de son côté réjoui que la CJUE "ait confirmé la valeur et les principes du mécanisme" du guichet unique "et ait souligné son importance, afin d'appliquer le RGPD de manière efficace et cohérente dans l'ensemble de l'UE", selon une déclaration de Jack Gilbert, avocat associé du géant du net, transmise à l'AFP.

Mais le lobby des géants de la tech, le CCIA, a exprimé ses inquiétudes, estimant que l'arrêt avait "ouvert une porte dérobée" et qu'il risquait de rendre le respect de la protection des données dans l'UE "plus incohérent, fragmenté et incertain".