L’activiste Max Schrems et son association Noyb accuse la Data Protection Commission d’être à la solde de Facebook. Ils reprochent notamment à la Cnil irlandaise une amende ridicule à l’encontre du géant et un alignement sur l’interprétation discutable que Facebook fait de l’accord le liant à ses utilisateurs.
Lorsque le gendarme irlandais des données personnelles propose d’infliger à Facebook une amende comprise entre 28 et 36 millions d’euros pour ses violations du RGPD, Max Schrems a vu rouge. L’activiste a en effet mis la main sur le projet de sanction que la DPC a transmis à ses homologues européens. Dans celui-ci, l’autorité insulaire estime que Facebook doit être condamné à cette faible amende car il aurait dû faire preuve d’une plus grande transparence.
Une transparence sur le traitement des données de ses utilisateurs ? Leur collecte ? Leur revente ? Que nenni ! Ce que la DPC reproche à Facebook, c’est de ne pas avoir correctement informé ses utilisateurs de sa manœuvre consistant à contourner le RGPD. Et non pas de contourner le RGPD. EN effet, le 25 mai 2018, à minuit, au moment précis où le nouveau cadre européen entrait en vigueur, Facebook modifiait discrètement ses conditions d’utilisation.
Par ce subtil changement, le géant interprétait l’accord le liant à l’utilisateur sur l’utilisation des données de ce dernier non comme un consentement, ce qui obligerait Facebook à se conformer avec les exigences les plus contraignantes du RGPD, mais comme un « contrat ». Une interprétation extrêmement discutable, que ne goûtent pas les autorités de protection des données sur le continent. Mais la DPC irlandaise, elle, indique « tout simplement ne pas être convaincue » par les arguments de ses homologues européens.
La DPC, jurisconsulte de Facebook
Pour Max Schrems, « si cela devait être accepté, n'importe quelle entreprise pourrait simplement écrire le traitement des données dans un contrat et ainsi légitimer toute utilisation des données des clients sans consentement. Ceci est absolument contraire aux intentions du RGPD, qui interdit explicitement de masquer les accords de consentement dans les termes ».
Ainsi, la DPC reconnaîtrait dans son projet de sanction le contournement, mais ne le condamne pas. Pire encore, elle le considère comme légal, sanctionnant seulement Facebook du fait que celui-ci n’ait pas été totalement transparent avec ses utilisateurs sur la base juridique du traitement de leurs données. Mais ce n’est rien à côté de la bombe que Nyob lâche : cette pirouette juridique aurait été élaborée avec le concours… de la DPC. « La DPC a développé le « contournement du RGPD » avec Facebook, à qu'il donne maintenant le feu vert en tant que régulateur. Au lieu d'un régulateur, il agit en tant que conseiller des Big Tech » s’indigne l’activiste.