Pourquoi cette action de groupe ?
La Quadrature du Net profite de l’application prochaine du Règlement général sur la protection des données, le 25 mai 2018, pour mener cette action de groupe, car ce texte comporte des dispositions juridiques majeures. Or, estime l’association, les pratiques des géants du web ne collent pas du tout avec le nouveau cadre qui est en train d’être déployé dans l’Union européenne.
Ces groupes « ne peuvent s’accaparer nos données qu’avec notre consentement libre et explicite. Il n’est pas libre s’il nous est imposé de le donner pour accéder à leurs services. Or, c’est bien ce qu’ils font », dénonce l’association. En particulier, elle veut faire tomber les stratagèmes mis en place pour recueillir ce consentement, qui est déduit du « silence» de l’internaute ou obtenu en lui forçant la main.
Les groupes concernés disent « traiter des données personnelles pour des finalités qui ne sont pas nécessaires à l’exécution du service qu’ils fournissent. Ils prétendent que ce traitement serait licite du fait que l’internaute y aurait consenti ». Mais ça ne l’est pas, juge la Quadrature : « ces traitements se fondent sur un consentement non valide, car non explicite ou non libre ».
Il reste toutefois à déterminer si l’action de groupe parviendra à ses fins, car les sociétés qui en sont la cible auront vraisemblablement pris des dispositions d’ici le 25 mai pour être conformes avec le RGPD. C’est en tout cas l’affirmation qu’elles opposeront.
Quelles entreprises sont visées ?
La Quadrature du Net prend pour cible cinq entreprises américaines : Google, Apple, Facebook, Amazon et Microsoft. L’association a choisi de s’attaquer à ces entreprises — que l’on regroupe sous l’acronyme de GAFAM, même s’ils ont des modèles économiques différents et que les rapprocher n’a pas grand sens — parce que leurs services sont extrêmement utilisés en Europe et en particulier en France.
Ce sont ces services et la façon dont ils collectent les données des internautes qui sont le moteur de l’action de la Quadrature du Net. Dans le cas de Google, l’association cite la version d’Android qui est préinstallée par les constructeurs, le moteur de recherche, YouTube et Gmail. Pour Apple, seul le système d’exploitation mobile iOS est évoqué. Idem pour Amazon, avec son site d’e-commerce.
Pour Facebook, sont concernés son réseau social, sa messagerie WhatsApp et son service de partage de photos Instagram. Quant à Microsoft, l’action de l’association porte sur la messagerie Outlook (y compris Hotmail, Live et MSN), mais aussi sur LinkedIn, son réseau social professionnel, et Skype, son logiciel d’appel téléphonique sur Internet et de discussion instantanée.
Le site mis en ligne par la Quadrature du Net adresse toutefois une critique générale, sans précision. Ainsi, il ne liste pas pour chaque service quels sont les éléments spécifiques qui justifient l’action annoncée mi-avril.
Quelle est la base juridique de l’action ?
Le RGPD, avec son article 80, habilite les associations à mener des actions collectives lorsqu’elles « sont actives dans le domaine de la protection des droits et libertés des personnes, […] dans le cadre de la protection des données à caractère personnel ». C’est ce que fait la Quadrature du Net. Dès lors, elle peut introduire une réclamation au nom des particuliers qui la sollicite et les représenter lors de la procédure.
C’est pour cela que l’association invite quiconque à la mandater pour qu’elle agisse devant l’institution judiciaire afin de faire cesser ce recueil illicite du consentement, « ainsi que devant le Conseil d’État, la Cour de justice de l’Union européenne ou toute autre institution qui aurait à connaître des suites des réclamations introduites » par la Quadrature du Net. Cette action implique l’article 79 du RGPD.
Dans celui-ci, il est dit que « chaque personne a droit à un recours juridictionnel effectif » si elle estime que ses droits ont été violés par un traitement de ses données personnelles effectué en violation du RGPD. Il est aussi indiqué que l’action « peut être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle ». En clair, qu’elle peut être déposée en France.
C’est pour cela que la Quadrature du Net va agir devant la Commission nationale de l’informatique et des libertés (Cnil), en représentant des internautes français.
Et si je veux participer ?
Précisons-le d’emblée : n’espérez pas toucher des dizaines de milliers d’euros à la fin de la procédure, si celle-ci aboutit. « Il n’y aura pas de cagnotte à se partager en cas de victoire, cela n’est absolument pas le but de ces actions », a dit Arthur Messaud, un juriste de la Quadrature du Net, lors d’une conférence de presse. Il s’agit ici de forcer les grands groupes du net à se conformer complètement au RGPD.
Mais s’il n’y aura pas de butin à l’issue de cette action, il convient de préciser aussi qu’il n’y aura aucun risque pour le particulier ni obligation de sortir le porte-monnaie. Les plaignants qui se regroupent derrière la Quadrature du Net ne courent « aucun risque légal » et « ne leur coûtera pas d’argent ». C’est l’association, dont le financement repose certes sur les dons des internautes, qui mobilise ses moyens.
Si le recours collectif aboutit, ce qui risque de prendre des années dans la mesure où les entreprises prises pour cible vont forcément utiliser tous les recours juridiques à leur disposition pour se défendre, il faut s’attendre à une modification des textes régissant le traitement des données personnelles par ces entreprises et une refonte de la manière dont le consentement des internautes est sollicité et collecté.
Il convient toutefois de noter qu’il n’y aura pas un recours unique, et donc une seule issue à l’action de groupe lancée par la Quadrature du Net, mais plusieurs : l’association entend en réalité lancer une douzaine d’actions.
CC Timon Studler
Et pour les entreprises visées ?
Potentiellement, le risque financier est gigantesque pour les cinq entreprises. Avec le RGPD, les amendes maximales qu’une institution comme la Commission nationale de l’informatique et des libertés peut infliger en cas d’infraction sur la protection des données peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
Or, il faut noter que c’est le montant le plus élevé qui est retenu. Nul besoin d’être grand clerc pour deviner quel mode de calcul sera appliqué sur les géants du web si leur faute est avérée, au regard des résultats économiques toujours spectaculaires qu’ils présentent. On change complètement d’échelle avec le RGPD : autrefois, la Cnil ne pouvait infliger que des amendes maximales de 150 000 euros.
Et encore, il ne s’agit-là que de la sanction administrative. Selon la carrière qu’aura la procédure que veut enclencher la Quadrature du Net dès le 25 mai, date d’application du Règlement général sur la protection des données, des conséquences judiciaires pourraient aussi survenir. L’association se dit en effet tout à fait prête à porter le dossier devant le Conseil d’État ou la Cour de justice de l’Union européenne.
Mais on ne le saura qu’à la fin de cette croisade, qui pourrait bien durer des années.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
