Lettre ouverte sur les pourparlers "confidentiels" dans l'affaire Facebook

24 Mai 2020

Dans les heures qui ont suivi l'entrée en vigueur du RGPD le 25 mai 2018, l'organisation européenne à but non lucratif noyb.eu a déposé trois plaintes contre le groupe Facebook (y compris WhatsApp et Instagram). Depuis lors, la Commission irlandaise de protection des données (DPC) a qualifié de "confidentiel" le contenu de la procédure extrêmement lente et a demandé à noyb.eu de ne pas le rendre public.

Malgré cette prétendue confidentialité, noyb.eu publie aujourd'hui une lettre ouverte (PDF) qui explique comment le GDPR a été (in)appliqué deux ans après qu'il soit devenu obligatoire. Malgré la procédure kafkaïenne décrite dans la lettre ouverte et ci-dessous, le groupe Facebook pourrait quand même, in fine, devoir faire face à une amende pouvant aller jusque 2,5 milliards d'euros si le DPC devait décider de suivre le rapport de son inspecteur.

Réunions secrètes sur le "contournement du consentement" entre le DPC et Facebook. La lettre ouverte expose pour la première fois que la DPC et le groupe Facebook (y compris WhatsApp et Instagram) ont tenu dix réunions avant que le GDPR ne devienne applicable en 2018. Lors de ces réunions, Facebook prétend avoir eu "un engagement direct et détaillé avec la Commission avant la mise en œuvre" d'un apparent "contournement du consentement" (détails ci-dessous) pour contourner les règles strictes du GDPR entourant le consentement. Malgré le fait que Facebook se soit appuyé sur ces réunions dans ses arguments et ait souligné que les documents étaient "soumis à l'examen" de la DPC, l'autorité refuse l'accès à toute trace de ces réunions secrètes, comprenant notamment un "livre blanc" soumis par Facebook. Max Schrems, président de noyb.eu : Cela ressemble beaucoup à ces "ruling fiscaux" où les autorités fiscales s'entendent secrètement avec les grandes entreprises technologiques sur la manière de contourner les lois fiscales - cela a lieu maintenant aussi avec le GDPR"

Le "contournement du consentement" illégal de Facebook. Dans les procédures déclenchées par trois plaintes déposées par noyb.eu il y a deux ans (lors de l'entrée en vigueur du GDPR), le groupe Facebook reconnaît ouvertement qu'il est simplement passé d'un "consentement" hautement réglementé à un prétendu "contrat d'utilisation de données". Ce contrat obligerait Facebook à suivre, cibler et mener des recherches sur ses utilisateurs. Selon Facebook, ce changement s'est produit à minuit pile lorsque la GDPR est devenue applicable. Un tel recadrage (mutuel) d'un accord (dans ce cas du consentement au contrat) pour contourner la loi est appelé en droit une simulation et n'est pas valable. Max Schrems : "Ce n'est rien d'autre que du rouge à lèvres sur un cochon. Depuis l'époque romaine, la loi interdit de "renommer" quelque chose dans le seul but de contourner la loi. Ce que Facebook a essayé de faire n'est pas intelligent, mais au contraire risible. La seule chose qui est vraiment inquiétante est que la DPC irlandaise s'est apparemment engagée avec Facebook quand ils ont conçu cette arnaque et est maintenant censée l'examiner de manière indépendante"

Dans une étude menée par l'Institut Gallup sur le "détournement du consentement", 64% des 1.000 utilisateurs pensent avoir donné leur consentement, malgré les affirmations contraires de Facebook. Selon la question, seuls 1,6 à 2,5% pensent avoir effectivement conclu un "contrat d'utilisation des données" qui inclut l'obligation pour Facebook d'utiliser leurs données à des fins de publicité ou de recherche. Les autres pensaient qu'il s'agissait d'une simple information, d'un contrat sans de telles obligations, ou ne voyaient pas la signification de cette page. Max Schrems : "En gros, aucun des 1000 utilisateurs que nous avons interrogés ne pense avoir signé un tel prétendu "contrat d'utilisation des données" avec Facebook"

La DPC limite l'analyse juridique du "contrat d'utilisation des données" à l'examen de l'Oxford English Dictionary. L'une des raisons pour lesquelles la DPC n'a pu trouver aucun problème avec le prétendu "contrat de traitement des données" sur lequel se fonde Facebook est que le DPC a simplement décidé que l'analyse d'un tel contrat dépasse ses compétences ("ultra vires"). Au lieu d'analyser le contrat au regard du droit applicable, la DPC a littéralement cité dans ses rapports la définition d'un "contrat" tirée de l'Oxford English Dictionary. Schrems : "À la faculté de droit, on apprend à lire des livres de droit pour résoudre des questions juridiques, pas un dictionnaire. Il semble que cette technique ait été gagnante pendant des siècles. Il est évident que la DPC essaie de ne pas examiner le prétendu "contrat d'utilisation des données" de Facebook.

Le DPC célèbre, après 2 ans, la fin de l'une des six étapes la procédure. Dans une déclaration publique faite vendredi dernier, la DPC a cité de manière surprenante les trois procédures déclenchées par noyb.eu comme des exemples de grands progrès dans le travail de la DPC. Et ce, malgré le fait que la DPC a mis deux ans à réaliser 1 des 6 étapes de sa procédure dans les affaires WhatsApp et Instagram, et 2 des 6 étapes dans l'affaire Facebook (voir tableau récapitulatif). Étant donné que la DPC a fait état de 7 125 plaintes rien qu'en 2019 et de zéro amende RGPD contre un acteur privé, ce n'est guère un accomplissement. Max Schrems : "C'est une gifle pour environ 10 000 plaignants si la DPC considère la première des six étapes dans deux cas après deux ans comme un accomplissement"

Même le plagiat de son propre rapport a pris 10 mois à la DPC. La fierté que la DPC a tirée de la présentation de deux projets de rapport (étape 1 sur 6) dans les affaires WhatsApp et Instagram la semaine dernière a semblé encore plus grotesque lorsque noyb.eu a réalisé que ces rapports reprennent en substance de 76 à 82 % du rapport de 2019 dans l'affaire Facebook (voir capture d'écran).

Max Schrems : "Nous avons fait passer les projets de rapports sur Instagram et WhatsApp que la DPC a fièrement mis en avant la semaine dernière par un logiciel permettant d'identifier le plagiat et nous avons bien ri : respectivement 76% et 82% étaient identiques au projet de rapport de l'année dernière sur Facebook. Il semble que même le simple copier-coller d'un projet de rapport leur ait pris plus de 10 mois"

Le rapport de DPC constate une violation des règles de transparence de GDPR. Les amendes pourraient atteindre des milliards. Même si la DPC a résisté à l'examen de la légalité du "contournement du consentement" de Facebook, un rapport d'enquête interne constate néanmoins une violation des exigences de transparence de l'article 5 du RGPD den n'informant pas adéquatement les utilisateurs de Facebook, WhatsApp et Instagram de la base juridique sur laquelle repose l'utilisation de leurs données. Si la DPC adopte ce point de vue dans sa décision finale, elle devra émettre une amende "effectiveproportionnée et dissuasive" pouvant aller jusqu'à 4% des revenus annuels de Facebook (jusqu'à 2,5 milliards d'euros ou 2,83 milliards de dollars US).

Max Schrems : "Fondamentalement, l'enquête de la DPC aboutit à la position que Facebook peut tromper les utilisateurs, du moment que Facebook soit plus transparent à ce sujet. Cela signifierait toutefois que Facebook, Instagram et WhatsApp ont bien traité les données de tous les utilisateurs européens en violation du RGPD. Même si la DPC s'en tenaitt à cette position, l'amende pourrait s'élever à 2,5 milliards d'euros.

La Commission européenne et les DPA doivent agir. Dans la lettre ouverte, noyb.eu appelle également la Commission européenne à prendre des mesures contre l'Irlande. Avec environ 10.000 plaintes en deux ans et aucune amende contre les acteurs privés, il est évident que l'Irlande ne met pas en œuvre efficacement le droit européen

La lettre ouverte appelle également les autres autorités européennes de protection des données (DPA) à prendre des mesures lorsque leurs collègues refusent de faire le travail. Si le RGPD ne fait malheureusement pas référence à des délais précis, elle permet aux DPA de demander à leurs collègues de prendre certaines mesures ou d'entamer une "procédure d'urgence" si une autre DPA est inactive. Schrems : "De nombreuses DPA sont frustrées par des situations comme en Irlande, mais il ne suffit pas de les dénoncer. Elles doivent également utiliser les outils prévus par le GDPR. Nous avons par exemple fait de telles demandes avec la DPA autrichienne"

Pour aider dans cet effort, noyb.eu a envoyé tous les documents pertinents concernant les procédures en cours aux autres DPA européennes, malgré le fait que la DPC CDP irlandaise ait explicitement insisté sur le fait que noyb.eu ne peut pas communiquer ces documents à ses collègues.

Contexte sur noyb.eu. noyb.eu est une association européenne à but non lucratif de protection des données qui essaie d'assurer l'application du RGPD. noyb.eu est financé par plus de 3 200 membres. L'équipe de noyb.eu, composée de 15 personnes, comprenant des juristes et des experts techniques du RGPD provenant de différents États membres de l'UE. Jusqu'à présent, noyb.eu a déposé plus de 20 plaintes GDPR sur différents sujets et contre des entreprises telles qu'Amazon, Apple, Google, Facebook, DAZN, SoundCloud et Netflix.