• English
• Français

Les étudiants qui débutent l’étude du droit des données personnelles posent régulièrement cette question : pourquoi la CNIL sanctionne-t-elle aussi rarement les “géants du numérique” ? Les explications qu’ils imaginent sont diverses et vont de la lâcheté à la paresse, en passant par le manque de moyens.

Aucune de ces hypothèses n’est la bonne. Si le manque de moyens dévolus à la CNIL constitue effectivement un scandale absolu, tant le rôle de cette autorité est devenu central en matière de protection des citoyens à l’ère numérique, il n’explique pas le faible nombre de condamnations de “GAFA”. Ces sociétés, on l’imagine, constitueraient des cibles privilégiées de contrôles, et éventuellement de sanctions, s’il n’existait pas d’autres obstacles. La paupérisation de la CNIL, en revanche, l’empêche à l’évidence de contrôler efficacement des dizaines de milliers de responsables de traitement plus ordinaires, comme les PME ou les collectivités territoriales.

Dublin can be heaven

Si les plus grandes sociétés du numérique échappent à l’emprise de la CNIL, c’est à cause d’un mécanisme prévu par l’article 56 du RGPD et couramment appelé “guichet unique” (ou “one-stop-shop”). L’idée de départ est plutôt séduisante : si un traitement de données est “transfrontalier”, s’il concerne plusieurs pays de l’Union, alors plusieurs autorités de contrôle nationales ont vocation à travailler ensemble sur le dossier. Il a dès lors paru sage de désigner une “autorité chef de file”, afin de coordonner leur action. Cette autorité sera celle du pays où est situé “l’établissement principal” du responsable de traitement.

Or, les grandes sociétés du numérique sont souvent installées en Irlande (Facebook, Microsoft…) ou au Luxembourg (Amazon), des pays qui se distinguent depuis longtemps par une politique fiscale caressante. On découvre depuis quelques années que leur sens de l’hospitalité se traduit également par une saine lenteur dans la mise en application du RGPD.

Ainsi l’association None of Your Business, fondée par Max Shrems, est-elle peut-être sur le point d’obtenir une décision contre Facebook du Data Protection Commissionner (DPC) irlandais, dans l’affaire des flux de données Europe – USA, à l’issue d’un combat judiciaire qui dure depuis près de 8 ans.

La CNIL avait certes marqué les esprits par une décision de janvier 2019 prononçant une sanction de 50 millions d’euros contre Google, la plus importante jamais prononcée par l’autorité française sur le fondement du RGPD, mais ce n’était qu’un feu de paille.

Dans un commentaire de cette décision, j’expliquais en effet que la société Google ne s’était pas montrée moins vertueuse que d’autres géants de la Silicon Valley, mais moins habile : elle avait tardé à fixer nettement dans la ville de Dublin son centre européen des décisions en matière de traitements de données. La CNIL avait sauté sur l’occasion pour affirmer : s’il n’y a pas d’établissement principal clair dans un pays de l’Union, toutes les autorités nationales sont libres d’agir indépendamment les unes des autres, en franc-tireurs. Cette interprétation du RGPD n’avait pas convaincu tous les commentateurs, mais le Conseil d’Etat n’y avait rien trouvé à redire. Depuis, Google a pris soin de se réfugier en bonne et due forme en terre irlandaise. Tous les chats californiens étant perchés, la CNIL n’avait plus qu’à tourner en rond en attendant une carte postale de son homologue dublinoise.

Le guichet unique est donc une machine à faire sauter le RGPD. Sa mise en pratique est une catastrophe. La Commission européenne l’a compris : son fameux projet de règlement Digital Services Act, prévoit un mécanisme de guichet unique mais le tempère en donnant le pouvoir à la Commission d’engager elle-même des poursuites si nécessaire (article 51).

Il faut souligner cependant que les atermoiements luxembourgeois et irlandais, qu’ils soient délibérés ou non, ne pourront éternellement différer les décisions de sanctions. L’autorité chef de file imprime son tempo au dossier, et elle peut opter pour la marche de la Légion étrangère plutôt que pour un quadrille. Mais le temps de la décision doit inéluctablement arriver. Si, à ce moment-là, le projet de sanction est trop clément, c’est l’article 65 du RGPD qui entre en scène. Celui-ci offre aux CNILs européennes, réunies dans le cadre du Comité européen pour la protection des données, la capacité de mettre le chef de file en minorité à l’issue d’un vote. C’est ce qui s’est produit récemment au détriment de l’autorité irlandaise, dans le cadre d’une sanction infligée à Twitter : la décision prononcée n’est pas celle qui était voulue initialement par Dublin.

Tout de même, le DPC apparaissait comme le maître des horloges. Face aux “GAFA”, on pouvait croire que l’autorité française était devenue tigre de papier pour des mois, voire des années.

Misfortune cookies

Et puis, en décembre 2020, une sanction de 100 millions d’euros a été prononcée par l’autorité française contre les sociétés Google (Google Irlande et Google LLC), et une sanction de 35 millions contre Amazon Europe Core. Comment l’expliquer ?

Les sanctions en cause concernent la conformité des pratiques de ces sociétés en matière de “témoins de connexion” déposés sur les terminaux des internautes, plus connus sous le nom de “cookies”. Or, cette question relève à titre principal d’une directive spécifique relative aux communications électroniques, dite “e-privacy”.

La directive e-privacy ne comprend, explicitement du moins, aucun mécanisme de guichet unique.

Toutefois, e-privacy, texte spécial (aux communications électroniques), opère régulièrement des renvois au texte général de protection des données (autrement dit le RGPD).

Une bataille féroce a été menée par les avocats de Google et d’Amazon, visant à démontrer que le guichet unique du RGPD devait être “importé” au sein de e-privacy. Le détail de cette argumentation n’est pas examiné dans le cadre de ce billet de vulgarisation. Retenons l’argument le plus puissant de la CNIL, celui qui emporte la conviction. Le contrôle d’e-privacy peut être confié, au libre choix de chaque Etat membre, soit à leur autorité de protection des données (leur CNIL), soit à leur autorité de régulation des télécommunications (leur ARCEP).

Or, le one-stop-shop du RGPD, on l’a vu, fait appel dans son fonctionnement à une réunion de toutes les CNILs européennes appelée CEPD. Les ARCEP européennes n’y siègent pas. La conclusion, c’est qu’il existe une impossibilité logique de faire fonctionner le guichet unique en matière de cookies. La CNIL s’estime donc compétente s’agissant des cookies déposés sur les terminaux des utilisateurs résidant en France.

Who’s next ?

La CNIL ayant retrouvé son marteau, elle frappe, et frappe fort, deux fois plus fort que dans l’affaire Android. Le message paraît clair : à défaut de pouvoir utiliser le RGPD, elle emploiera la directive e-privacy comme nouvelle arme.

Dans ces conditions, on ne voit pas d’obstacle à ce que l’autorité française s’attaque à des acteurs qui lui ont toujours échappé jusqu’ici, au premier rang desquels Facebook.

On peut certes critiquer les pratiques en matière de cookies de Google ou d’Amazon, et nous renvoyons pour des observations détaillées sur ce point à notre commentaire à paraître au Dalloz IP/IT : “E-privacy ou la poursuite de la guerre contre la publicité ciblée par d’autres moyens”.

Mais affirmer que les usages du groupe Facebook en la matière ne sont pas meilleurs est un euphémisme. Le bandeau cookies d’Instagram ressemble d’abord à ceci :

Mais un clic sur “En savoir plus” vous mènera là :

Toujours aucun bouton de refus des cookies non indispensables. Un bouton “précédent” qui vous permet de retomber sur le premier bandeau et d’initier une boucle sans fin. Un texte qui vous invite, si vous voulez vraiment refuser les cookies, à le faire via les réglages de votre navigateur – en vous proposant aimablement un lien vers la documentation appropriée ! On voit mal pourquoi la CNIL, une fois émancipée des chaînes du one-stop-shop, se priverait de constater ces éléments par un simple contrôle en ligne.

L’enjeu véritable : l’avenir de la publicité ciblée en ligne

Pour finir, il nous faut mettre en garde contre une approche simpliste et manichéenne de la question, qui ferait de l’ensemble de ces sociétés californiennes des entités maléfiques uniquement animées par le désir de nuire aux utilisateurs. Dans une précédente publication (encore sous embargo éditeur), nous tentions d’expliquer qu’il était absurde de renvoyer l’énorme question du modèle d’affaires “service gratuit contre publicité ciblée” à de prétendus arbitrages individuels via des cases à cocher, alors qu’il s’agit d’une question à régler politiquement et collectivement. Nous reviendrons largement sur cette question dans un mois, à l’occasion de la publication d’un article qui lui sera spécifiquement dédiée dans les Mélanges Storck. Il en sera proposé un résumé vulgarisé ici même.