la troisième "lecture de l'Avent" denoyb: Le risible registre des activités de traitement de Facebook (ROPA)
Dans sa troisième "Lecture de l'Avent" (en protestation contre le fait que le DPC a illégalement retiré noyb d'une procédure en cours) noyb publie le principal document de conformité au GDPR de Facebook : Le "registre des activités de traitement" de Facebook en vertu de l'article 30 du GDPR (en bref : "ROPA"). Ce document légalement obligatoire devrait permettre d'évaluer facilement la conformité de Facebook avec le GDPR, mais en fait, il ne compte que quatre pages, ce qui est risible. Habituellement, de tels documents comptent des centaines de pages. Schrems :"Le principal document de conformité de Facebook au GDPR est symptomatique de leur ignorance de la loi - il ne compte que quatre pages. Habituellement, un tel document compterait des centaines de pages. Le CPD irlandais est au courant de ce manque de documentation depuis 2018, mais n'a pas pris de mesures."
La conformité au GDPR en quatre pages ? Le document dit en fait très peu de choses, au lieu d'une description détaillée de milliers de traitements, Facebook renvoie principalement à sa politique de confidentialité et a sinon ajouté quelques lignes génériques. Pour une plongée plus profonde, noyb a été rejoint par Peter Hense, partenaire chez Spirit Legal, qui a déjà travaillé sur des centaines de documents de ce type. Il pouvait difficilement croire que le ROPA de Facebook se limite à quatre pages et a commenté"Chaque club de football a un ROPA plus détaillé" dans la lecture de l'Avent de noyb. Il a ensuite souligné qu'en tant qu'auditeur, il devrait traiter ce ROPA comme inexistant et que le traitement de Facebook est donc "illégal".
La DPC est au courant depuis 2018. La Commission irlandaise de protection des données ("DPC") a reçu ce risible "registre des activités de traitement" le 27.9.2018 par Facebook, mais n'a pris aucune mesure concernant la violation évidente de l'article 30 du GDPR à la connaissance de noyb.
Max Schrems, président de noyb.eu :"Le CPD irlandais savait que Facebook Irlande ne dispose même pas des documents de conformité les plus élémentaires en règle et n'a rien fait à ce sujet."
Menace pour noyb en 2019. Au lieu d'agir sur Facebook, le DPC s'en est pris à noyb: une fois que le document a été fourni à noyb en août 2019 via l'autorité autrichienne de protection des données ("DSB"), Max Schrems a partagé sur Twitter le fait que le ROPA ne contient que quatre pages, ainsi qu'une photo du verso des documents. Cela a déclenché l'envoi par la DPC de lettres de colère à noyb, exigeant que ce tweet soit supprimé.
"Fan Mail" par le DPC et Facebook. Comme noyb en informe toutes les parties concernées avant nos lectures de l'Avent, nous avons à nouveau reçu des lettres de menace (que nous appelons "fan mail") de la part du cabinet juridique de Facebook Mason Hayes et Curran et le DPC irlandais - menaçant essentiellement d'une action en justice contre noyb, bien qu'ils n'aient aucune base juridique pour le faire, comme indiqué dans nos réponses à Facebook et notre réponse au DPC irlandais.
Base légale de la publication. Comme indiqué dans notre première lecture de l'Avent, les quatre lectures de l'Avent de noyb visent à protester contre la suppression illégale de noyb par le CPD dans le cadre d'une procédure en cours. Tous les documents ont été fournis via le ORD autrichien. L'ORD autrichien a décidé que ces documents ne sont pas protégés en vertu de la disposition pertinente (§ 17 Abs 3 AVG) et que noyb est libre de les utiliser en vertu du droit autrichien applicable. Même en vertu de la loi irlandaise de 2018 sur la protection des données (non applicable), il n'y a pas de base juridique pour retenir ou limiter autrement l'utilisation des documents par les parties. Alors que le CPD s'appuie généralement sur la section 26 de la loi, cette disposition ne s'applique clairement qu'au personnel du CPD (" personnes concernées ") et non aux tiers.
Poursuite SLAPP potentielle par le DPC et Facebook Compte tenu des menaces sans fondement, malgré une base juridique claire pour ces publications, noyb s'attend maintenant à des "poursuites-bâillons" sans fondement (voir un excellent résumé de John Oliver, malheureusement uniquement sur YouTube) par le DPC et/ou Facebook Ireland Limited. Il n'est pas improbable que Facebook ou le DPC essaient de porter une affaire en Irlande ou au Royaume-Uni, car ces systèmes juridiques sont extrêmement coûteux et constituent des juridictions parfaites pour ruiner une ONG. Nous avons donc géobloqué les documents pertinents dans ces juridictions.
Les documents du jour Le document ROPA fait partie de notre litige "contournement du GDPR" et est disponible ici :
- Le ROPA des quatre pages de Facebook (peut ne pas être disponible dans tous les pays)
Échanges sur la légalité de cette publication :
- Lettre de la DPC sur la publication de la ROPA
- Réponse de noyb sur les raisons pour lesquelles les arguments de la DPC sont incorrects
- Lettre du cabinet d'avocats de Facebook sur la publication du ROPA
- Réponse de noyb sur les raisons pour lesquelles "l'intention" de Facebook n'est pas un facteur pertinent
Revue de la semaine. Pour tous ceux qui s'intéressent à ce qui s'est passé depuis la lecture de l'Avent de la semaine dernière, nous recommandons cet article de POLITICO sur la façon dont le DPC a essayé de faire passer le "contournement du GDPR" de Facebook dans les documents de l'EDPB. Cela a déclenché un certain nombre d'articles intéressants, jusqu'à des appels en Irlande pour remplacer la direction du DPC. Plus tard cette semaine, POLITICO a fait état d'une objection au titre de l'article 60 contre le projet de décision du CPD sur le "contournement du GDPR " par l'APD norvégienne, soulignant que le projet de décision du CPD allait "droit à la vie privée" selon le DPA norvégien. Cela conduit à d'autres discussions en Irlande sur le CPD, comme ce reportage du Irish Times.