Deux ans de RGPD : l’étau se resserre sur les GAFA

Il y a deux ans tout juste, le RGPD entrait en application. Depuis lors, des sanctions sont tombées à l’encontre de têtes de gondole de la Silicon Valley.

En France, Google y est passé, écopant d’une amende de 50 millions d’euros.

Au-delà de la Cnil, son homologue irlandaise, la DPC (Data Protection Commission), a été particulièrement sollicitée. La raison : l’implantation, sur place, des filiales européennes des GAFA. L’autorité née parallèlement à l’entrée en vigueur du RGPD vient de faire le point sur l’avancée de ses enquêtes. Elle signale notamment avoir soumis à l’examen de ses pairs européens une décision préliminaire relative à Twitter.

Les investigations avaient démarré à la suite de plusieurs notifications de brèches par l’entreprise américaine.
Il s’agit de déterminer si cette dernière a ou non enfreint des dispositions inscrites à l’article 33 du RGPD. Celles-ci portent sur le processus de révélation desdites brèches et les procédures y afférentes.

La « famille Facebook » dans le collimateur

La DPC fait part de ses avancées sur d’autres dossiers :

• Communication, à WhatsApp, d’une décision préliminaire rapport au partage de données avec sa maison mère Facebook (articles 12 et 14 du RGPD)
• Fin de la phase d’investigation d’une plainte centrée sur les obligations de Facebook Irlande de disposer d’une base légale au traitement de données personnelles
• Envoi de questionnaires aux plaignants et aux « parties intéressées » dans le cadre de deux autres enquêtes, sur Instagram et WhatsApp

L’autorité irlandaise attend, en parallèle, la décision de la CJUE dans l’affaire dite « Max Schrems ».

Cet Autrichien avait déposé plainte en 2013 contre Facebook Irlande. Il exigeait que la filiale européenne du réseau social cesse de transférer les données des citoyens européens vers la maison mère, dans la mesure où les États-Unis n’en assureraient pas une protection adéquate. Il s’appuyait en particulier sur les révélations d’Edward Snowden.

L’affaire a, entre autres, mené à l’invalidation du Safe Harbor, ensemble de principes de protection des données personnelles destiné à en permettre le transfert hors d’Europe.

Après cette invalidation, Facebook s’est appuyé, au moins partiellement, sur un mécanisme spécifié dans la décision 2010/87/UE : des clauses types inscrites dans le contrat entre « importateur » et « exportateur » des données. Leur base : la Charte des droits fondamentaux de l’Union européenne.

La CJUE est appelée à se prononcer à ce sujet, à la demande de la Haute Cour de justice d’Irlande. On attend son verdict pour le 16 juillet 2020.

L’avocat général a rendu ses conclusions en décembre 2019. Il estime que rien au cours des procédures n’a été de nature à remettre en cause la décision 2010/87.

Photo d’illustration © IBM