Le CPD irlandais donne son feu vert au "contournement du GDPR" par Facebook. Schrems : "La décision sape un élément clé du GDPR"
La Commission irlandaise de protection des données (DPC) a envoyé un "projet de décision" (PDF) aux autres autorités européennes de protection des données sur l'astuce juridique de Facebook pour contourner le GDPR. noyb a publié les documents pertinents aujourd'hui
Selon le CPD, Facebook peut simplement choisir d'inclure l'accord sur le traitement des données dans un "contrat", ce qui ferait que les exigences du GDPR en matière de "consentement" ne s'appliqueraient plus. Toutefois, l'autorité suggère une sanction de 28 à 36 millions d'euros car Facebook aurait dû être plus transparent sur ce contournement.
- plainte denoyb du 25 mai 2018 (PDF)
- observations denoyb du 9 septembre 2019 (PDF)
- observations denoyb du 11 juin 2020 (PDF)
- Projet de décision du CPD irlandais (PDF)
- Annexe au projet de décision (PDF)
L'accord d'utilisation des données n'est pas un "consentement" ? L'argument juridique de Facebook est assez simple : En interprétant l'accord entre l'utilisateur et Facebook comme un "contrat" (article 6, paragraphe 1, point b) du GDPR) au lieu d'un "consentement" (article 6, paragraphe 1, point a) du GDPR), les règles strictes en matière de consentement prévues par le GDPR ne s'appliqueraient pas à Facebook - ce qui signifie que Facebook peut utiliser toutes les données dont il dispose pour tous les produits qu'il fournit, y compris la publicité, le suivi en ligne et autres, sans demander aux utilisateurs un consentement librement donné qu'ils pourraient retirer à tout moment. Le passage de Facebook du "consentement" au "contrat" a eu lieu le 25.5.2018 à minuit - exactement au moment où le GDPR est entré en vigueur dans l'UE.
Schrems : "Il est douloureusement évident que Facebook tente simplement de contourner les règles claires du GDPR en réétiquetant l'accord sur l'utilisation des données comme un "contrat". Si cela était accepté, n'importe quelle entreprise pourrait simplement inscrire le traitement des données dans un contrat et ainsi légitimer toute utilisation des données des clients sans leur consentement. Cela va absolument à l'encontre des intentions du GDPR, qui interdit explicitement de cacher les accords de consentement dans les termes et conditions"
Illégal depuis l'époque romaine Depuis l'époque romaine, la loi dit que les accords doivent être traités comme ce qu'ils sont réellement (évaluation objective), et non comme ce que les parties prétendent qu'il est (évaluation formelle)
Schrems :"Il n'est ni innovant ni intelligent de prétendre qu'un accord est quelque chose qu' il n'est pas pour contourner la loi. Depuis l'époque romaine, les tribunaux n'ont pas accepté un tel "réétiquetage" des accords. Vous ne pouvez pas contourner les lois sur les drogues en écrivant simplement "poudre blanche" sur une facture, alors que vous vendez clairement de la cocaïne. Seul le DPC irlandais semble tomber dans le panneau. "
64 % des utilisateurs de Facebook voient le " consentement ", mais le CPH se range du côté de Facebook. Pour évaluer la signification réelle de l'accord, noyb a confié une étude objective à l'institut Gallup: Sur 1.000 utilisateurs de Facebook, seuls 1,6% ont vu un contrat sur la publicité (comme le prétend Facebook), 64% ont supposé que l'accord était un "consentement". Le reste n'était pas sûr de la signification juridique de l'accord.
La DPC n'était "tout simplement pas convaincue" par les collègues européens. Au niveau européen, les autorités de protection des données (DPA) ont publié des lignes directrices selon lesquelles un tel "contournement" du GDPR est illégal et doit être traité comme un consentement. Cependant, la DPC irlandaise a déclaré qu'elle n'était "tout simplement pas convaincue" par l'opinion de ses collègues européens.
Dix réunions secrètes avec Facebook sur le "contournement du consentement". Cette décision surprenante est probablement fondée sur un accord conclu entre Facebook et la CPD au printemps 2018, juste avant que le GDPR ne devienne applicable. Alors que le CPD soutient qu'il se serait agi d'une procédure distincte, le projet de décision fait référence à une "analyse spécifique" (non divulguée) que le CPD a fournie à Facebook. Facebook s'est également appuyé sur une telle transaction devant un tribunal autrichien. Malgré de multiples demandes d'accès à ces dossiers, le DPC refuse de divulguer tout détail de ses transactions avec Facebook et qualifie les critiques de "non fondées".
Schrems :"Le CPD a mis au point le 'contournement du GDPR' avec Facebook, qu'il présente maintenant comme un régulateur. Au lieu d'un régulateur, il agit comme un conseiller 'big tech'."
Une amende de 28 à 36 millions d'euros pour ne pas avoir dit aux utilisateurs qu'ils se font avoir sur les droits liés au GDPR Bien qu'il ait affirmé que le " contournement du consentement " est légal, le CPD a tout de même infligé une amende à Facebook pour ne pas avoir été totalement transparent sur la base juridique du traitement des données de ses utilisateurs. En résumé, le CPD ne prévoit donc pas de prendre des mesures concernant la violation soulevée par la plainte, mais a simplement proposé que Facebook rende le contournement plus clair. La sanction s'élèverait à environ 0,048% du chiffre d'affaires mondial de Facebook, malgré la possibilité de sanctions allant jusqu'à 4% dans le GDPR.
Schrems :"En gros, le CPD dit que Facebook peut contourner le GDPR, mais qu'il doit être plus transparent sur les points suivants it. Avec cette approche, Facebook peut continuer à traiter les données de manière illégale, ajouter une ligne à la politique de confidentialité et juste payer une petite amende, tandis que le CPD peut prétendre qu'ils ont pris des mesures."
Schrems : "Procédure russe" La procédure elle-même soulève également de grandes inquiétudes. Le CPD refuse continuellement l'accès à des documents cruciaux. Alors que le CPH a produit un projet de décision massif de 96 pages, il a largement "recadré" les observations écrites des utilisateurs ou a simplement ignoré des parties clés de ces observations. Pour tenter de clarifier directement la position du plaignant, noyb a demandé une audience orale - qui a également été refusée par la DPC.
Schrems :"Nous avons des affaires en cours devant de nombreuses autorités, mais le CPD n'applique pas, même de loin, une procédure équitable. Des documents sont retenus, des auditions sont refusées et les arguments et faits soumis ne sont tout simplement pas reflétés dans la décision. La décision elle-même est longue, mais la plupart des sections se terminent par un "point de vue" du DPC, et non par une évaluation objective de la loi."
L'affaire devrait atteindre l'EDPBLe projet de décision a maintenant été envoyé aux autres autorités européennes de protection des données (DPA), qui peuvent soulever des objections à la solution proposée par le DPC irlandais. Il est très probable que cette affaire parvienne ensuite au Comité européen de la protection des données (CEPD), où les autorités de protection des données peuvent annuler la décision du CPD irlandais, tout comme dans une affaire récente concernant WhatsApp.
Schrems :"Notre espoir repose sur les autres autorités européennes. Si elles n'agissent pas, les entreprises peuvent simplement transférer le consentement dans les termes et ainsi contourner le GDPR pour de bon."