L’adoption du règlement général sur la protection des données personnelles (RGPD) a fait couler beaucoup d’encre avant même son entrée en vigueur, puisqu’il a posé comme principal problème la remise aux normes de tout responsable (personne physique ou morale) collectant, traitant et transférant des données à caractère personnel d’utilisateurs. À la suite de la fuite massive de données personnelles par Facebook, l’autorité irlandaise de protection des données a ouvert une enquête afin de déterminer la responsabilité de la société au regard de ce nouveau règlement ; Cela constitue le premier cas global qu’une autorité de régulation ait à traiter depuis l’entrée en vigueur du texte. En application du principe de territorialité, qui détermine quelle autorité de contrôle est compétente, l’Irlande joue un rôle crucial. Cependant il est important de rappeler qu’une véritable collaboration interétatique est la clé de voûte du RGPD.

Bref rappel de la législation européenne en matière de protection des données personnelles

En Europe la protection des données personnelles n’est pas nouvelle. En effet la première esquisse d’une législation en la matière remonte à 1981, avec la Convention 108 émanant du Conseil de l’Europe pour la protection des données personnelles. Après avoir opposé une résistance à légiférer dans le domaine, l’Union européenne a finalement voté la directive 95/46/CE en 1995 relative à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Afin de garantir les objectifs prévus par le législateur européen, mais dans un souci d’efficacité et d’adaptation aux nouvelles technologies de l’information, le nouveau règlement sur la protection des données personnelles a été adopté le 27 avril 2016 et est entré en vigueur le 25 mai 2018. Ce règlement a pour objectif de renforcer le droit des personnes sur l’utilisation de leurs données, mais aussi de préciser la responsabilité des acteurs en matière de transparence, de protection et d’utilisation des données tout en prévoyant des sanctions en cas de non-respect des dispositions prévues par le texte. De plus dans une Europe globalisée par le transfert de flux immatériels numériques de toutes natures, il semble que le législateur ait pris la mesure d’une indispensable harmonisation des règles, par la création d’un cadre juridique s’appliquant à tous les États membres de la même manière. Ce cadre juridique a pour principal effet de structurer les différentes autorités compétentes au sein des États-membres en matière de protection des données personnelles et de les lier à une nouvelle autorité européenne qui est le comité européen de protection des données personnelles (CEPD), remplaçant le G29 et ayant pour mission de garantir l’application cohérente du règlement. Il est certain que le travail en amont des autorités compétentes étatiques restera le plus important. Cependant nul doute que certaines seront plus sollicitées que d’autres. Cela va très probablement être le cas du data protection commissionner (DPC) irlandais dans les prochaines semaines et cela pourrait bien constituer le premier cas européen global traité par une autorité de régulation.

Le premier cas global d’exposition de données d’utilisateurs rapporté depuis l’entrée en vigueur du RGPD

À la fin septembre, Facebook a signalé une attaque sur sa plateforme. Comme le rapportait le NY times dans un article du 28 septembre 2018, l’attaque proviendrait d’une faille dans trois des logiciels utilisés pour le bon fonctionnement de la plateforme. Cela aurait alors permis à des hackers de s’emparer en premier lieu des logins d’utilisateurs, mais également de récupérer les informations de comptes Instagram ou Spotify liés auxdits comptes Facebook.

Au total environ 50 millions d’utilisateurs se sont retrouvés exposés et certains comptes ont même été retrouvés en vente sur le « Dark Web ». C’est une partie du web à laquelle on accède par le biais de logiciels ou configurations spécifiques et dont la principale caractéristique est l’anonymat de ses utilisateurs. Il est important de souligner que cette partie de la toile abrite bien souvent des agissements illégaux tels que la vente d’armes, de drogue et de contenus pédopornographiques. L’utilisation de ces données volées par des personnes malveillantes pourrait alors être hautement préjudiciable pour les utilisateurs victimes de cette faille.

Au regard du RGPD, cette exposition d’utilisateurs rentre dans le champ de l’article 1 du règlement qui ouvre un droit à la protection des données personnelles des personnes physiques et qui va nécessairement trouver à s’appliquer dans le cas de fuite de données personnelles à grande échelle. Ensuite le règlement prévoit la responsabilité du responsable de traitement des données. En l’espèce ce responsable est Facebook puisqu’il exploite, stocke et traite des données à caractère personnel de ses utilisateurs. Au sens de l’article 24 qui impose des mécanismes de protection dans son paragraphe 2, il serait difficile pour Facebook de justifier une telle faille. En effet la protection demandée semble proportionnée aux risques d’atteintes possibles. Le détail du système de protection mis en place est donné à l’article 32 du règlement concernant la sécurité du traitement. Il est intéressant car il impute au responsable le fait d’évaluer les risques de sécurité liés à « la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. »

Le rôle du DPC irlandais en application du principe de territorialité

Au titre de la protection des données et des pouvoirs qui lui sont investis, l’autorité indépendante de protection des données irlandaise  a ouvert une enquête dans le cadre de la fuite de données concernant des utilisateurs européens. En effet l’article 55 du RGPD dispose que chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie sur son territoire. C’est ici le cas de l’Irlande puisque le siège social de Facebook Europe est situé à Dublin.

Le DPC va notamment chercher à savoir si Facebook est bien en règle au regard de ses obligations imposées par le RGPD. Encore plus important, au prisme de l’article 58 du règlement, l’autorité irlandaise pointe son enquête sur les moyens mis en œuvre par Facebook en terme technique et organisationnel pour garantir la sécurité et la sauvegarde des données de ses utilisateurs.

De son coté, Facebook a assuré poursuivre des investigations en interne, afin de limiter les risques auxquels les utilisateurs sont confrontés. C’est le premier cas important de coopération entre une autorité indépendante et un GAFA, en matière de protection des données personnelles, depuis l’entrée en vigueur du texte, ce qui n’est pas sans rappeler le principe du règlement qui impose une collaboration entre le responsable de traitement et une autorité de contrôle à la demande de cette dernière.

La question sous-jacente à cet incident est évidemment la portée de cette enquête sur les affaires à venir, confrontant directement ces géants du numérique qui traitent des données à caractère personnel, avec l’application du RGPD. En effet les sociétés comme Facebook, Google, Apple ou AirBnB ont majoritairement implanté leurs sièges sociaux européens en Irlande à cause d’un régime fiscal des sociétés très favorable. Cela pourrait mettre l’autorité de contrôle irlandaise en première ligne concernant les litiges relatifs à ces entreprises. En effet, force est de constater que les plus grosses affaires de fuites, de vols, ou de pertes de données personnelles proviennent généralement des sociétés qui en exploitent le plus. Il est aussi admis, depuis l’affaire Schrems de 2015 ayant amené la cour de justice de l’Union européenne à faire invalider l’accord « Safe Harbor » encadrant l’utilisation des données des internautes européens par des sociétés américaines, que ces géants du numérique ont une propension plus grande par leur taille géantissime à déclencher des scandales médiatiques et accroître la prise de conscience de l’opinion publique lorsqu’un problème de cette ampleur survient. Cela a d’ailleurs encore été récemment prouvé à travers le scandale « Cambridge Analytica » quand, au début de l’année 2018, les données de près de 90 millions d’utilisateurs de Facebook ont été collectées et potentiellement utilisées dans le cadre d’une campagne de désinformation pendant les élections présidentielles américaines.

Cette enquête pourrait alors placer l’Irlande dans la situation de premier gendarme de l’Union européenne, dans la constatation et la mise en place d’enquête de non-conformité au règlement, ainsi que dans les sanctions éventuellement prononcées. A l’heure actuelle on estime à 91% les parts de marché de Google en termes de requêtes sur un moteur de recherche en Europe et à 377 millions d’utilisateurs européens de Facebook.

L’importance de la collaboration interétatique

Cependant, il est primordial que cette position favorise une coordination entre les autorités. C’est ce qui a d’ailleurs été prévu à l’article 61 du règlement par l’extension de la notion d’assistance mutuelle, jusque-là assez vague dans la directive de 1995. Il est en l’espèce important que le DPC puisse et doive communiquer toutes les informations utiles dans des délais prévus et avec un cadre juridique spécifique.

En ce sens il est également intéressant de souligner le rôle du CEPD par sa formation, mais aussi par les missions qui lui sont confiées. En effet il a pour objectif de surveiller et garantir la bonne application du règlement, mais sans porter préjudice aux missions de contrôle des autorités indépendantes. Cela laisse deviner un rôle de ciment des différentes autorités, plutôt que l’exercice d’un véritable contrôle sur ces dernières.

Cette collaboration rejoint le principe d’autorité chef de file. En effet l’autorité chef de file est définie par l’article 55 du RGPD comme le seul interlocuteur du responsable de traitement où son siège principal est établi. Cette relation de singularité d’interlocuteur est aussi appelée le « guichet unique », ce qui signifie que le responsable de traitement n’est en principe en relation qu’avec une seule autorité de contrôle. Dans la plupart des cas, c’est à l’autorité de contrôle chef de file de traiter l’espèce sauf si elle refuse de le faire conformément aux dispositions prévues au même article. Cependant, il est à noter que l’assistance mutuelle et les opérations conjointes prévues respectivement aux articles 61 et 62 s’appliquent même si l’autorité chef de file décide de ne pas traiter le cas. Dans cette situation c’est l’autorité de contrôle ayant introduit la demande qui se charge de l’affaire, mais l’autorité chef de file doit respecter les obligations concernant l’assistance et les opérations conjointes.

Le DPC irlandais se retrouverait alors impliqué dans toutes les affaires concernant ces sociétés de l’internet et verrait sa contribution au respect du RGPD accrue si ce n’est prédominante. Cependant, une nouvelle taxe visant les revenus générés par l’activité numérique des GAFA, voulu par le gouvernement français notamment, pourrait venir bousculer le schéma établi. En effet si la fiscalité irlandaise constitue l’argument le plus important pour les géants du numérique de s’installer sur son territoire, ces sociétés perdraient leur principal avantage à rester en Irlande. Le gouvernement français de son côté espère un accord à Bruxelles avant Noël 2018. Cela semble néanmoins complexe puisque l’article 113 du traité sur le fonctionnement de l’Union Européenne impose un vote du conseil européen à l’unanimité. Certains États-membres dont l’Irlande fait partie, sont réticents à la signature d’un tel accord et privilégient une solution internationale émanant de l’Organisation de coopération et de développement économique en premier lieu.

SOURCES :

KENNEDY (R), MURPHY (M.H), « Information and communications technology law in Ireland » Clarus Press p98.99

DEROULEZ (J), « Les autorités de contrôle en droit des données personnelles » LexisNexis, Communication Commerce électronique n°4 p.4 avril 2018, consulté le 7 octobre 2018

CNIL « Règlement européen sur la protection des données : ce qui change pour les professionnels » www.cnil.fr mis en ligne le 10 juillet 2018, consulté le 7 octobre 2018 https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

CNIL « Le comité européen de la protection des données » www.cnil.fr consulté le 7 octobre 2018 https://www.cnil.fr/fr/le-comite-europeen-de-la-protection-des-donnees-edpb

DATA PROTECTION COMMISSION (IRELAND), « Facebook Data Breach – Commencement of Investigation » www.dataprotection.ie mis en ligne le 3 octobre 2018, consulté le 7 octobre 2018 https://www.dataprotection.ie/docs/EN/03-10-2018-Facebook-Data-Breach-Commencement-of-Investigation/m/1787.htm

ISAAC (M), FRENKEL (S), « Facebook Security Breach Exposes Accounts of 50 Million Users » www.nytimes.com mis en ligne le 28 septembre 2018, consulté le 7 octobre 2018 https://www.nytimes.com/2018/09/28/technology/facebook-hack-data-breach.html

CUTHBERSTON (A), « Facebook hack : People’s accounts appear for sale on Dark web » www.independent.co.uk mis en ligne le 2 octobre 2018, consulté le 7 octobre 2018 https://www.independent.co.uk/life-style/gadgets-and-tech/news/facebook-hack-data-dark-web-login-details-cost-dream-market-a8564671.html

UNTERSINGER (M) « Comment une entreprise proche de Trump a siphonné les données de millions d’utilisateurs de Facebook » www.lemonde.fr mis en ligne le 18 mars 2018, consulté le 7 octobre 2018 https://www.lemonde.fr/pixels/article/2018/03/18/comment-une-entreprise-proche-de-la-campagne-de-trump-a-siphonne-les-donnees-de-millions-d-utilisateurs-de-facebook_5272744_4408996.html

LE FIGARO « GAFA : Le projet européen de taxation des géants du web divise » www.lefigaro.fr mis en ligne le 21 mars 2018, consulté le 23 octobre 2018 http://www.lefigaro.fr/conjoncture/2018/03/21/20002-20180321ARTFIG00233-gafa-le-projet-europeen-de-taxation-des-geants-du-web-divise.php

« Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel » www.coe.int consulté le 7 octobre 2018 https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/108

COUR DE JUSTICE DE L’UNION EUROPEENNE, « communiqué de presse n° 117/15 » www.curia.europa.eu mise en ligne le 6 octobre 2015, consulté le 7 octobre 2018 https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf

Règlement général sur la protection des données (articles 1, 24, 31,32, 55, 58, 61, 62 et 83)

Directive 95/46/CE sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (article 28)

Traité sur le fonctionnement de l’union européenne (article 113)