la deuxième "lecture de l'Avent" denoyb: Comment le DPC irlandais a essayé de faire pression pour que le "contournement du GDPR" de Facebook soit intégré aux directives européennes.
Cette semaine, noyb a publié deux séries de documents dans le cadre de ses " lectures de l'Avent " à partir de documents du DPC et de Facebook : Une lettre de Facebook au CPD irlandais confirme que le CPD a eu dix réunions avec Facebook au cours desquelles ils ont discuté et se sont mis d'accord sur le contournement du GDPR par Facebook. La deuxième série de documents montre que le DPC a tenté de faire passer cette dérogation pour les "médias sociaux" dans les lignes directrices du Conseil européen de la protection des données (EDPB), mais qu'il s'est heurté à des critiques sévères de la part d'autres autorités européennes de protection des données (DPA), qui sont allées jusqu'à des commentaires tels que "..."Nous pensons que cette interprétation porte atteinte au système et à l'esprit du GDPR" ou" Cela réduit le GDPR à un instrument pro-forma"." La tentative du CPD d'inclure le contournement du GDPR dans les lignes directrices a eu lieu alors qu'il était chargé d'être un décideur indépendant dans une affaire en cours sur le "contournement du GDPR" par Facebook.
Dix réunions entre Facebook et le CPD. Comme indiqué précédemment, Facebook a tenu dix réunions avec le CPD sur la manière d'aborder le GDPR. Au cours de ces réunions, la multinationale et le régulateur irlandais se sont mis d'accord sur un"contournement du GDPR", en déplaçant simplement la clause de consentement dans les conditions générales de Facebook, affirmant que cela contournerait les règles de consentement de l'article 6(1)(a) du GDPR, mais rendrait l'article 6(1)(b) applicable à la place.
Les lignes directrices proposées par l'EDPB. Les documents nouvellement découverts vont encore plus loin : En 2018, le DPC irlandais a déclaré une initiative au niveau de l'UE et a lancé un nouveau projet au sein du "Key Provisions Subgroup" de l'EDPB sur l'article 6(1)(b) du GDPR - exactement la disposition qu'il a précédemment convenu avec Facebook d'utiliser comme contournement du GDPR. Le CPD dirigeait le groupe qui a tenu sa première réunion en avril 2018 - d'autres autorités européennes rejoignaient le groupe. Les participants exacts ne sont pas clairs dans les documents. En octobre 2018, le CPD irlandais a ensuite envoyé une lettre décrivant une approche "stricte" et, ce que le CPD a appelé, une approche de "liberté de contracter". L'approche de la " liberté contractuelle " était un euphémisme pour désigner une approche où les contrôleurs pouvaient écrire n'importe quoi dans leurs conditions et ainsi contourner le GDPR. Le CPD a proposé un projet de lignes directrices visant à s'orienter vers l'approche "contournement". En gros, cela permettait aux entreprises de simplement insérer une clause dans leurs conditions générales pour rendre la récolte de données " nécessaire " à un contrat et ainsi contourner l'exigence de consentement prévue par le GDPR.
La réaction des autres APD. Les réactions des autres APD ont été extrêmement négatives. En voici quelques exemples(A70) :"Tcette interprétation semble accepter la monétisation des données personnelles et le contournement des autres bases juridiques (voir les commentaires ci-dessus). Nous pensons que cette interprétation porte atteinte au système et à l'esprit du GDPR." ou(A90) : "Pas d'accord. Cela réduit le GDPR à un instrument pro forma." ou (A103) : "Contraire à tout ce en quoi nous croyons (désolé, mais c'est vrai), ainsi qu'aux précédentes orientations de l'A29WP."
Rôle des "médias sociaux" dans les lignes directrices. Les lignes directrices sont des lignes directrices générales pour n'importe quel secteur industriel, cependant la proposition du DPC se concentre de manière répétée sur les "réseaux sociaux" et les "médias sociaux", donc exactement le secteur industriel où Facebook a un monopole de facto. D'autres DPAs le remarquent dans leurs commentaires (A96) :" De plus, tous les exemples semblent se rapporter aux réseaux sociaux"."ou (A105) "Nous suggérons de supprimer cet exemple, car il fait à nouveau référence aux médias sociaux."D'autres commentaires s'en prennent explicitement à la suggestion de la DPC selon laquelle les "médias sociaux" pourraient simplement utiliser toutes les données dans le cadre d'un contrat (A103) publicité dans le cadre d'un contrat(A103) :" Est-il possible de fournir des comptes de médias sociaux sans suivi ni profilage ? Oui, en fait, c'est possible. Par conséquent, le suivi ou le profilage n'est pas nécessaire à l'exécution de ce contrat."
Conflit avec une affaire en cours ? Il est particulièrement intéressant que le CPD ait fait cette proposition alors qu'une plainte de noyb sur le contournement du consentement par Facebook était déjà devant le régulateur. Au lieu d'adopter une position neutre, le DPC a même essayé de faire pression en faveur du contournement du GDPR par Facebook au niveau européen.
Le résultat final. Le sous-groupe a terminé le projet et les a publiées en tant que lignes directrices EDPB 2/2019. Toutes les références aux réseaux sociaux et la possibilité de contourner le consentement via un prétendu " contrat " ont été supprimées, contre la position du DPC. Le CPD semble avoir proposé de retarder la publication des lignes directrices qui vont à l'encontre de leur accord avec Facebook, mais n'a pas réussi non plus à retarder les lignes directrices (désormais très défavorables).
Max Schrems, président de noyb.eu:"Les documents montrent un plan clair : D'abord, le régulateur irlandais a convenu d'un contournement du GDPR avec Facebook. Ensuite, il essaie de faire passer ce contournement dans les lignes directrices européennes. Le CPD n'agit clairement pas dans l'intérêt de la protection des données, mais dans l'intérêt des multinationales américaines. Habituellement, ce sont les lobbyistes de Facebook qui tentent d'influencer les lignes directrices dans l'intérêt de leur secteur d'activité, ici le régulateur s'est transformé en lobbyiste."
Statut juridique des documents . Les documents de l'EDPB ont été fournis par l'EDPB en vertu des règles européennes sur la liberté d'information. La lettre de Facebook a été fournie en vertu de l'article 17 de la loi administrative autrichienne (AVG) et n'a donc pas été jugée confidentielle - bien qu'elle porte la mention "strictement confidentiel" et que Facebook ait demandé au DPC de ne pas partager ces documents.
Tous les documents : Vous trouverez ci-dessous tous les documents que nous avons publiés pour cette lecture de l'Avent. Nous vous recommandons vivement de lire d'abord notre aperçu, car le projet de document est légèrement déroutant lorsqu'il est lu pour la première fois. Le commentaire A89R88 est particulièrement pertinent, car il n'a pas été noirci et dit "The Irish DPC is concerned that...", montrant que le DPC est l'auteur de ces réactions. Nous l'avons confirmé via des sources supplémentaires et des fragments numériques dans les documents. La DPC n'a pas réagi lorsqu'on lui a demandé de faire un commentaire, mais elle n'a pas non plus nié en être l'auteur.
Note : Pour les documents de l'EDPB, il convient de noter que les noms des différentes DPA ont été supprimés. Cependant, les commentaires portent généralement un numéro commençant par "A" (comme "A88"). Les réactions du DPC irlandais à ces commentaires comportent généralement un "R" dans le numéro, qui indique de quel commentaire il s'agit en réaction au commentaire suivant ce numéro ("A89R88" est donc le commentaire 89, mais aussi une réaction à A88"). Sur les pages comportant un trop grand nombre de commentaires, les commentaires se trouvent sur les dernières pages du document, sous le numéro correspondant commençant par "A"
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
Role of "Social Media" in the Guidelines. The guidelines are general guidelines for any industry sector, however the DPC proposal is repeatedly focusing on "social networks" and "social media", so exactly the industry sector where Facebook has a de facto monopoly. Other DPAs notices this in their comments (A96): "Furthermore, all the examples seem to relate to social networks." or (A105) “We suggest removing this example, as this refers again to social media." Other comments explicitly attacked the DPC's suggestion that "social media" could just use all data for advertisement under a contract (A103): "Is it possible to provide social media accounts without tracking and profiling? Yes, in fact it is. Therefore, tracking or profiling is not necessary for the performance of that contract."
Conflict with pending Case? It is especially interesting that the DPC has made these proposals, when a complaint by noyb on Facebook's consent bypass was already before the regulator. Instead of taking a neutral position, DPC has even tried to lobby for Facebook's GDPR bypass on the European level.
The End Result. The subgroup has finished the project and published them as EDPB Guidelines 2/2019. All references to social networks and the option to bypass consent via an alleged "contract" were removed, against the DPC's position. The DPC seems to have proposed to delay the publication of the guidelines that go contrary to their agreement with Facebook, but was not successful with delaying the (now highly unfavourable) guidelines either. According to POLITICO, the DPC was the only DPA voting against the final guidelines.
Max Schrems, chairperson of noyb.eu: "The documents show a clear plan: First the Irish regulator agreed on a GDPR bypass with Facebook. Then it tries to squeeze this bypass into European guidelines. The DPC clearly does not act in the interest of data protection, but in the interest of US multinationals. Usually it is Facebook lobbyists that try to influence guidelines in the interest of their industry sector, here the regulator has turned into a lobbyist."
Legal Status of Documents. The EDPB documents were provided by the EDPB under the EU freedom of information rules. The letter by Facebook was provided under § 17 of the Austrian Administrative Act (AVG) and was therefore not deemed confidential - despite being stamped "strictly confidential" and Facebook's demand that the DPC may not share the documents.
All Documents: Below you can find all documents we published for this advent reading. We highly recommend to also read our overview first, as the draft document is slightly confusing when read the first time. Comment A89R88 is especially relevant, as it was not blackened and says "The Irish DPC is concerned that...", showing that the DPC is the author of these reactions. We have confirmed this via additional sources and digital fragments in the documents. The DPC did not react when asked for a comment, but also did not deny authorship.
Note: For the EDPB documents, it should be noted that the names of individual DPAs were removed. However, comments usually have a number starting with "A" (like "A88") reactions by the Irish DPC to these comments, usually have an "R" in the number, which indicates which comment this is a reaction to the comment after that number ("A89R88" is therefore comment 89, but also a reaction to A88"). On pages with too many comments, the comments can be found on the final pages of the document, under the relevant number starting with "A".