Ça n'a pas trainé. Alors que ça ne fait même pas 24 heures que le RGPD est appliqué, voilà que Google et Facebook sont déjà accusés de le violer. À la manœuvre, un Autrichien, Maximilian Schrems, devenu au fil des ans la bête noire des géants du net pour son activisme en faveur de la protection des données personnelles.

Maximilian Schrems n’est pas le genre d’individu à prendre à la légère. Celui par qui l’invalidation du régime du Safe Harbor est arrivée, obligeant par conséquent les États-Unis et l’Union européenne à mettre en place un nouveau cadre autorisant les entreprises américaines à importer des données personnelles de citoyens européens, vient de lancer un nouveau front.

Son levier d’action ?

Le Règlement général sur la protection des données (RGPD), qui est appliqué dans l’Union européenne depuis le 25 mai 2018. L’Autrichien, dont l’activisme est une source incessante de maux de tête pour les géants du net, et en particulier chez Facebook, accuse en effet le réseau social américain, deux de ses filiales (Instagram et WhatsApp) et Google d’enfreindre le RGPD.

Schrems
Max Schrems.
Crédits : Noyb

Et l’intéressé n’a pas perdu de temps. À peine le texte européen a-t-il été rendu actif que les plaintes ont été déposées devant plusieurs autorités de protection en Europe, dont la Commission nationale de l’informatique et des libertés (CNIL) en France. Trois autres institutions sont sollicitées, en Autriche, en Belgique ainsi qu’à Hambourg, en Allemagne.

Et manifestement, le dossier monté par Maximilian Schrems est solide. C’est en tout cas l’avis préliminaire rendu par Andrea Jelinek, la présidente du Groupe de travail Article 29 sur la protection des données, dont fait partie la CNIL. Reçu dans la nuit, à 1h26 du matin, le dossier est considéré comme ayant « l’air très professionnel », selon des propos qui ont été rapportés par la journaliste Catherine Stupp.

Au Financial Times, Max Schrems a déclaré que ces grands groupes ont mis en place des procédures qui ne collent pas avec le processus de collecte du consentement tel que le RGPD l’établit. Celui-ci doit être demandé au préalable et doit être manifesté par écrit, être clair et explicite. Ce n’est qu’à ce moment-là que s’enclenche le traitement des données personnelles de l’internaute qui a donné son feu vert.

Pour l’activiste et juriste autrichien, Google et Facebook sont parfaitement au courant qu’ils sont hors-la-loi. « Ils savent très bien qu’il s’agit d’une violation […] Ils n’essaient même pas de le cacher ». Plus spécifiquement, il reproche aux géants du net de suivre une politique du « tout ou rien » : soit vous donnez votre consentement pour l’ensemble des traitements, soit vous refusez mais vous devez partir.

« Ils savent très bien qu’il s’agit d’une violation […] Ils n’essaient même pas de le cacher »

L’action conduite par ce particulier rappelle celle menée par La Quadrature du Net, même si l’approche est différente. L’association française a en effet annoncé en avril vouloir faire une action de groupe contre Google, Apple, Facebook, Amazon et Microsoft. Là encore, ces entreprises sont accusées d’obtenir incorrectement le consentement des internautes au regard du RGPD.

L’action menée par l’Autrichien a fait une évaluation du montant de l’amende administrative qui pourrait être infligée à chacun de ces services, si jamais ils étaient reconnus coupables d’infraction au RGPD. En se basant sur le plafond de sanction, soit 4 % du chiffre d’affaires mondial, Google aurait à payer 3,7 milliards d’euros, et Facebook, WhatsApp et Instagram chacun 1,3 milliard d’euros.

Rien ne dit évidemment que c’est ce scénario qui va se jouer : ces deux entreprises pourraient être condamnées à des sommes bien inférieures ou même y échapper. Une chose est sûre, Google et Facebook contestent déjà les allégations de Max Schrems et l’on peut être certain que les deux géants mobiliseront leur département juridique et les plus grands cabinets d’avocats pour combattre la plainte.

Partager sur les réseaux sociaux