L’ONG Noyb European Center for Digital Rights, a annoncé le 23 novembre le dépôt d’une plainte pénale à Vienne, où elle est basée, contre la Data Protection Commission (DPC), la CNIL irlandaise, pour corruption. La procédure est le résultat d’un conflit entre l’autorité irlandaise et Noyb, plaignant dans une affaire contre Facebook pour violation du RGPD.

La confidentialité à tout prix

Noyb estime avoir été victime de « chantage procédural » de la part de la DPC. Cette dernière a tenté d’imposer la signature d’un accord de non-divulgation concernant la procédure engagée par l’ONG contre Facebook, sans quoi elle en serait exclue. Pour Noyb cet accord ne repose sur aucune base juridique. « Il s'agit d'un régulateur qui demande clairement une 'contrepartie' pour faire son travail, ce qui constitue probablement un acte de corruption en Autriche », estime l’ONG.

L’affaire débute le 12 novembre par un courrier (pdf) de la DPC envoyée à Noyb, qui l’a rendue publique. L’Autorité irlandaise y « notifie » l’association qu’un certain nombre d’informations concernant la suite de l’enquête seront confidentielles le temps de la procédure, « afin de préserver l'intégrité du processus réglementaire en cours et de garantir le respect du droit des parties à des procédures équitables ».

Parmi les informations confidentielles, les projets de décisions de la DPC, les objections des autres autorités de protections des données, les observations écrites de Facebook ou du plaignant sur ces objections, les réponses de la DPC aux objections… Des exceptions sont toutefois reconnues : sur ordonnance d’un tribunal, lorsque les informations du « contrôleur » (contrôleur de données, ici Facebook) doivent être légalement connues du public et lorsque ces informations sont déjà tombées dans le domaine public.

Dans sa lettre la DPC mentionne ce qu’elle considère être des violations de confidentialités ultérieures et considère que « dans ces circonstances, nous ne sommes pas en mesure de partager les objections et/ou les documents associés avec vous à ce stade ».

La position de la DPC ne reposerait sur rien juridiquement

Pour Maximilian Schrems, avocat autrichien connu pour son combat pour la protection des données, fondateur de Noyb, « la conduite de la DPC a finalement franchi toutes les lignes rouges. En gros, ils nous privent de tous nos droits à une procédure équitable à moins que nous acceptions de nous taire ». Il explique que l’exigence de la CNIL irlandaise n’a « aucune base légale ».

Dans sa réponse, l’avocat explique que la DPC outrepasse d’une part le droit autrichien, mais également le droit irlandais selon lequel « les parties ne sont pas légalement tenues de garder les documents confidentiels ». La DPC s’appuie sur la section 26 de la loi irlandaise de protection des données qui ne s’appliquerait qu’à son propre personnel selon l’ONG.

D'après TechCrunch, ce type de pression à la confidentialité aurait déjà été utilisée contre l’Irish Council for Civil Liberties dans le cadre d’une plainte contre la branche adtech de Google. Le média américain affirme avoir connaissance d’un troisième cas, y voyant un modus operandi de l’Autorité.

La CNIL irlandaise, mauvaise élève de l’Union européenne

Cette affaire pourrait encore écorner la mauvaise réputation de la DPC qui occupe pourtant un rôle stratégique en Europe. De nombreux géants du numérique y ont leurs sièges, Facebook, Google, Apple, Microsoft... ce qui la rend responsable en premier lieu des dossiers les concernant.

Carte de l'europe avec entreprises Tech installée

La DPC occupe une position stratégique pour l'Europe des données... Crédit : Rapport de l'Irish Council for Civil Liberties

L’Irish Council for Civil Liberties a publié le 13 septembre un rapport (pdf) mettant en évidence l’inefficacité de la DPC pour traiter les plaintes relatives au RGPD. Sur 164 dossiers qui lui ont été soumis à portée européenne, 98% sont en attente. Depuis l’entrée en vigueur du règlement européen, seuls quatre projets de décisions ont été portés à la connaissance des autres Autorités de protection des données européennes, étapes préalables à une décision définitive.

... Le goulot d'étranglement du RGPD. Crédit : Rapport de l'Irish Council for Civil Liberties

En Europe, les autorités et politiques hésitent de moins en moins à critiquer ouvertement la DPC, considérée comme la faiblesse du continent dans l’application du RGPD. Certains soupçonnent l’Autorité de faire partie du packaging proposé par Dublin aux géants du numérique pour établir leurs sièges en Irlande, en plus de sa fiscalité attrayante. Des demandes de réforme pour passer outre l’autorité se font de plus en plus entendre. La Commissaire de la DPC, Helen Dixon, a qualifié en avril 2021, déjà, les doutes sur son autorité de ridicules.

Meta (Facebook) au-devant de gros ennuis

Récemment, la DPC a pris une amende record de 225 millions d’euros pour violation du RGPD contre le groupe Meta, nouveau nom de Facebook, précisément contre WhatsApp. Une première contre le groupe. Les observateurs notent surtout que l’amende demandée initialement par la DPC était seulement de 50 millions d’euros.

La mansuétude irlandaise se manifeste également dans l’affaire où Noyb est plaignant. Les violations de confidentialités dont la DPC accuse Noyb concernaient la question du consentement forcé imposé par Facebook. La plateforme a tenté de détourner le RGPD en considérant que les utilisateurs acceptent la publicité ciblée en signant un contrat d’utilisation avec elle. Sans cette signature, pas de Facebook.

La DPC a donné raison à l’entreprise, en infligeant à la plateforme une simple amende de 36 millions d’euros pour manque de transparence du « contrat publicitaire ». Les autres CNIL européennes ont émis des objections sur cette décision selon la procédure normale.

Rien d’étonnant pour Noyb, selon l’ONG, les autres Autorités de protection des données, « ont adopté des lignes directrices en 2019 qui sont très défavorables à la position de Facebook ». L’association estime que « Facebook pourrait faire face à un désastre juridique, car la plupart des utilisations commerciales de données personnelles dans l'UE depuis 2018 seraient déclarées rétroactivement illégales ».