Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entrait en vigueur afin d’encadrer le traitement des données. Le texte sonnait comme une victoire face aux géants américains de la tech. Ni une ni deux, le 28 mai 2018, la Quadrature du Net, association de défense et de promotion des droits et liberté sur Internet, au nom de 12 000 personnes, a déposé 5 plaintes, une par GAFAM (Google, Amazon, Facebook, Apple, Microsoft), auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL). Ces 5 accusations concernent le traitement de données personnelles non fondé sur des bases légales, comme dans le cas d’un consentement de l’utilisateur pas réellement libre, pratique contraire au RGPD.

Trois ans plus tard, les résultats de ces actions se font toujours attendre. « Ce total échec résulte d’une multitude d’irrégularités qui, toutes ou presque, révèlent le rôle coupable de la CNIL pour protéger les GAFAM contre le droit », accuse la Quadrature du Net dans un billet de blog publié le 25 mai 2021. L’association, dont certains de ses membres sont issus du monde de la justice, estime qu’aucune des « plaintes ne nécessite plus de quelques jours pour être traitées par deux ou trois juristes spécialisés ». La Quadrature reconnaît toutefois qu’ayant déposé des plaintes dans plusieurs pays, un allongement de quelques semaines est justifié. Mais entre quelques semaines et trois ans, il y a un boulevard.

L’association s’attendait pourtant bien à des « stratégies dilatoires ». Vulgairement, on entend par là gagner du temps sur des détails. Et c’est pourquoi elle a choisi un argument juridique unique pour les cinq plaintes tout en limitant son argumentation à des éléments publiés par les GAFAM eux-mêmes, notamment dans leurs conditions générales d’utilisation (CGU).

Apple gagne du temps…

Du côté d’Apple, la CNIL a transféré la plainte déposée par la Quadrature du Net à son équivalent irlandais, la Data Protection Commission (DPC). Pour cause, le siège d’Apple se situe en Irlande. La DPC a ouvert une enquête le 20 août 2018. 9 mois plus tard, le 9 mai 2019, la CNIL indique à l’association de défense des libertés que la DPC a « besoin d’obtenir la preuve qu’au moins une personne physique vous ayant donné mandat est bien une personne « concernée » par les traitements mis en œuvre par [Apple] ». La DPC demande qu’une des 12 000 personnes ayant participé à la plainte de la Quadrature donne un identifiant Apple pour prouver qu’elle est bel et bien utilisatrice des services de la marque à la pomme. Bien que l’association affirme cette exigence soit inexistante au sein du RGPD, elle accepte.

Le temps passe… Le 14 septembre 2020, plus de deux ans après l’ouverture de l’enquête par la DPC, la CNIL donne des nouvelles à la Quadrature du Net : l’enquête de la DPC est toujours en cours. Très bien. Encore 7 mois plus tard, le 14 avril 2021, la CNIL contacte à nouveau l’association pour demander l’identifiant Apple d’un autre des 12 000 mandataires. En effet, la personne ayant donné son identifiant deux ans auparavant n’a plus de compte Apple. Pour la poursuite de l’enquête, l’association doit donc déclarer un nouveau plaignant.

Pour la Quadrature du Net c’est une « manœuvre dilatoire flagrante ». Dans une réponse (pdf) adressée à la CNIL, l’association estime qu’il « est inadmissible que la DPC ait permis à Apple de prendre 2 ans pour vérifier un simple identifiant. Si nous lui donnions un nouvel identifiant, nous n’avons aucune raison de penser que celui-ci ne sera pas vérifié dans 2 ans, lui aussi. La CNIL cautionne-t-elle cette façon de faire de la part de la DPC et d’Apple ? Ou a-t-elle entamé des démarches pour contraindre la DPC à faire cesser ces manœuvres dilatoires ? ».

… Et la CNIL ne semble pas plus pressée

Interrogée par Siècle Digital, la CNIL soutient qu’elle « n’est pas compétente pour traiter les plaintes de la Quadrature du Net contre les GAFAM, qui ont donc été transmises aux autorités de protection des données de l’Irlande et du Luxembourg, conformément au RGPD. La CNIL relance régulièrement ces autorités sur le traitement de ces plaintes ».

Néanmoins, la Quadrature du Net rappelle qu’avec le RGPD, la CNIL peut saisir le comité européen à la protection des données (CEDP) pour contester les décisions de la DPC. Ainsi, la Quadrature du Net considère que les deux ans d’attente et la demande du nouvel identifiant Apple auraient pu être contestés devant le CEDP.

Par ailleurs, le RGPD permet à la CNIL de contourner la DPC s’il est « urgent d’intervenir pour protéger les droits et libertés des personnes concernées » en établissant une mesure provisoire. En août 2019, l’autorité de Hambourg a déjà recouru à ce procédé contre Google. « Il nous est difficile d’interpréter le silence de la CNIL autrement que comme un refus de mettre fin à ces stratégies dilatoires », conclut la Quadrature du Net sur le volet Apple.

Du côté de Facebook et Linkedin l’histoire se rapproche de celle d’Apple : dépôt de plainte, attente, demande de données de l’utilisateur concerné, attente, demande de la DPC d’informations complémentaires auprès de Linkedin, attente, courrier récapitulant la procédure… Sur ces dossiers, la dernière action remonte au 25 mars 2021, date à laquelle la DPC indique rédiger actuellement un « compte rendu d’enquête » sur Facebook.

Google pouvait être sanctionné en France, puis a installé son siège en Irlande

Le cas de Google diffère légèrement de celui d’Apple, Facebook et Linkedin. En effet, au moment de la plainte de la Quadrature, en mai 2018, Google n’avait pas de siège social en Europe. Par conséquent, l’entreprise pouvait être sanctionnée depuis n’importe quel pays de l’Union, et donc en France. Mais rapidement la marque a choisi d’installer son siège social dans un pays connu pour avoir des réglementations intéressantes pour les entreprises : l’Irlande.

La veille de l’installation de Google en Irlande, le 21 janvier 2019, la CNIL le sanctionne avec une amende de 50 millions d’euros. Ce qui représente un pourboire pour l’entreprise qui gagne, selon la Quadrature du Net, 20 millions d’euros par heure. La CNIL présente sa décision de janvier 2019 comme une réponse aux plaintes de l’association de défense des droits et liberté sur Internet. Pourtant ce service n’était pas visé par la Quadrature qui a porté ses réclamations sur Youtube, Gmail et Google Search. De plus, l’association demandait une amende de 4 milliards d’euros et « surtout que Google soit interdit d’exploiter nos données personnelles tant qu’il continuera d’obtenir notre consentement de façon forcée ».

Le 27 novembre 2019, la CNIL a indiqué à la Quadrature du Net que le reste de la réclamation visant Google sera traité, comme dans le cas des autres GAFAM, par l’autorité irlandaise. Bien entendu, la Commission s’engage à suivre le dossier après son transfert à la DPC. Le 10 juin 2020, la CNIL transfère un courrier de son homologue d’Irlande qui indique que « l’affaire est actuellement en cours d’examen afin de déterminer la procédure réglementaire appropriée ». Pourtant, les plaintes avaient justement été réfléchies pour qu’elles « découlent de la même procédure initiale et reposent sur la même démonstration juridique » et qu’elles soient ainsi plus aisées à traiter.

Absence de résultats, la Quadrature fera sans la CNIL

Enfin, le cas « Amazon ou l’échec définitif du RGPD » comme le nomme la Quadrature du Net dans son billet de blog. La plainte visant Amazon a été transmise en 2018 à l’homologue luxembourgeois de la CNIL, pays dans lequel Amazon a son siège européen. Et voilà, c’est tout, c’est fini. L’association de défense des droits et liberté sur Internet déclare n’avoir reçu ni accusé de réception du transfert de plainte ni contact de l’autorité Luxembourgeoise.

Sur les 5 plaintes déposées contre les GAFAM, aucune n’a donc abouti à un résultat satisfaisant pour la Quadrature du Net. Néanmoins, l’association ne remet pas en doute la bonne volonté de la Commission : « nous avons souvent échangé avec les personnes employées par la CNIL : leur maîtrise du droit des données personnelles est sincère ».

La Quadrature du Net reconnaît également les récentes actions prises par la CNIL sur les cookies qui ont conduit à la mise en demeure d’une vingtaine de sites. Néanmoins, l’association pointe du doigt dans son billet de blog que « cette action aurait dû commencer dès 2018 mais que la CNIL avait offert sans justification trois années de répit aux sites web violant la loi ». Pour l’association, s’attaquer aux bandeaux publicitaires ne suffit pas à lutter contre le modèle économique des GAFAM, qui est basé sur le traitement des données des internautes. De son côté, la CNIL explique à Siècle Digital : « Si la CNIL a agi rapidement sur les cookies déposés par certains GAFAM, c’est parce que c’est le seul domaine où elle est compétente au niveau national pour des acteurs établis dans d’autres pays de l’Union européenne ».

Quoi qu’il en soit, cela n’empêche pas la Quadrature de s’inquiéter face au (non)respect du RGPD par les GAFAM. Dans son billet de blog, l’association accuse avec peu de précautions de langage : « les GAFAM sont les fidèles partenaires des États pour maintenir l’ordre sur Internet. Plus que jamais, l’État français, dans sa dérive autoritaire, a tout intérêt à les maintenir au-dessus des lois pour leur laisser gérer la censure et la surveillance de masse ». Ainsi, la Quadrature du Net conclut : « N’attendons plus un improbable sursaut démocratique de la CNIL : il faudra nous protéger sans elle ».