Le régulateur irlandais des données a pris une décision préliminaire en se basant sur le règlement européen. Elle pourrait coûter des milliards d'euros au réseau social au petit oiseau bleu. Facebook est aussi visée par une autre enquête.
Principale autorité de protection des données en Europe, la Data Protection Commission (Commission à la protection des données ou DPC) pourrait bientôt prendre une décision historique en ce qu'elle serait la première à adresser une sanction XXL à un acteur du numérique, basée sur le Règlement général sur la protection des données (RGPD). Twitter est en l’occurrence la cible de cette probable future décision. Un avant-projet de décision concernant WhatsApp, qui appartient au groupe Facebook, a également été soumis. Mais seule une entente européenne permettra d'aboutir à des sanctions. Explications.
Les 27 autorités de données de l'UE vont devoir s'entendre
La Commission irlandaise sur la protection des données, équivalente de la CNIL française, a annoncé avoir soumis à ses pairs (comprenez aux autres régulateurs européens) un projet de décision, le 22 mai 2020, concernant Twitter International Company. L'autorité soupçonne le réseau social d'avoir enfreint le RGPD en ses articles 33 et 35, en adoptant un comportement constitutif d'une violation des données.
En l'état, seule la moitié du chemin a été parcourue. Comme nous le sous-entendions en début d'article, seul un accord entre les différentes autorités de régulation des données européennes pourra conduire à une sanction prononcée à l'encontre de Twitter. Cet impératif découle du fait que la violation de la confidentialité dénoncée est imputée à l'échelle de l'Union européenne, ce qui fait tomber le dossier sous le coup de l'article 60 du RGPD, qui impose une coopération puis un accord entre les autorités de l'UE.
C'est un véritable défi auquel fait face le DPC irlandais aujourd'hui. C'est la première fois que la coopération entre les 27 autorités de données de l'Union européenne sera testée. Si elle aboutit, les sanctions pourraient être historiques et forcément très lourdes. Rappelons que le RGPD peut aboutir à des amendes pouvant atteindre jusqu'à 4% du chiffre d'affaires annuel d'une entreprise.
La CNIL irlandaise veut créer un précédent historique
Twitter n'est pas le seul réseau social placé dans le collimateur de la Data Protection Commission. L'autorité irlandaise a également confirmé, par l'intermédiaire de son vice-commissaire Graham Doyle, qu' « en plus de soumettre ce projet de décision à d'autres autorités de contrôle de l'UE, nous avons envoyé, cette semaine, un avant-projet de décision à WhatsApp Ireland Limited ».
Cet avant-projet de décision tombe aussi sous le coup de l'article 60 du RGPD, puisque les violations constatées valent pour toute l'Union européenne. Ici, le gendarme des données accuse WhatsApp d'avoir enfreint les articles 12 à 14 du règlement européen, qui encadrent la transparence sur les informations et données personnelles partagées avec Facebook, maison-mère du réseau social.
Les deux sanctions ont de réelles chances d'aller à leur terme. D'une part, les deux projets émanent de l'autorité issue du pays où se trouvent les sièges européens des principaux acteurs des technologies. Et d'autre part, si l'on se base sur l'article 60 du RGPD, seule la formation, « dans un délai de quatre semaines », d'une « objection pertinente et motivée à l'égard du projet de décision », pourrait prolonger les discussions, et retarder voire empêcher le couperet de tomber.
À ce jour, une seule véritable sanction a été prononcée au titre du RGPD, et elle reste microscopique au regard de ce que Twitter et WhatsApp risquent. Le 21 janvier 2019, la CNIL avait condamné Google LLC à une amende de 50 millions d'euros, à l'époque pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ».
Source : Data Protection Commission