Apple protecteur de vos données personnelles vis-à-vis de Facebook ? Une fumisterie

Atlantico : WhatsApp, Instagram, Facebook...Apple tape du poing sur la table pour la protection des données mais continue d'héberger des applications détenues par Facebook, régulièrement pointé du doigt pour son laxisme en la matière. On semble assez loin d'une révolution des données personnelles...Les efforts de la RGPD sont-ils restés vains ? 

Jessica Eynard : Le RGPD est d'application récente (25 mai 2018) et ses effets commencent à peine à se faire sentir. Deux tendances sont aujourd'hui à mettre en lumière. Premièrement, les sanctions prises sur le fondement du RGPD sont encore peu nombreuses mais marquent une volonté des autorités de protection de prononcer des sanctions plus en adéquation avec les manquements constatés. Ainsi, la société Google LLC vient d'être condamnée le 21 janvier 2019 par la CNIL à une amende de 50 millions d'euros pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. La CNIL portugaise a, quant à elle, prononcé une amende de 400 000 euros à l'encontre d'un hôpital qui n'avait notamment pas désactivé des anciens comptes et laissé un large accès aux données des patients. Deuxièmement, l'action de la Cour de justice de l'Union européenne n'est pas à négliger. Les dernières décisions, prises sur le fondement de la directive 95/46/CE abrogée par le RGPD, vont dans le sens d'une interprétation large de la notion de co-responsable de traitement, ce qui a pour effet de responsabiliser tous les acteurs engagés. A cet égard, la décision à venir sur l'insertion de plugiciels tiers, dont le bouton "J'aime" de Facebook, devra être regardée de près. Sur un autre pan de la législation, il faudra également suivre de près la décision attendue relative aux modalités de déréférencement, notamment des données sensibles, qui devrait imposer des obligations strictes aux moteurs de recherche.

Google a été récemment condamné par la CNIL pour insuffisance dans l'information et le consentement des utilisateurs. Si la révolution de la protection des données arrive, cela risque de bouleverser le business model des géants de la collecte de données ? Comment y arriver, à cette révolution ? 

La question est large et seuls quelques éléments de réponse peuvent être apportés. Peut-être faudrait-il clarifier l'obligation d'information incombant aux responsables de traitement ? Si on suit les lignes directrices publiées par le Groupe de l'article 29 (remplacé par le Comité européen de la protection des données), cette obligation semble particulièrement contraignante, avec l'obligation de hiérarchiser l'information donnée en différents niveaux et la nécessité pour la personne concernée d'accéder aux informations pertinentes en un, voire deux clics. Cela peut sembler complexe à mettre en oeuvre au premier abord. Il sera aussi certainement indispensable de sensibiliser davantage les personnes concernées dont le consentement peut, dans certains cas, fonder la licéité d'un traitement. Le développement de la co-responsabilité et le prononcé de justes sanctions semblent également être des moyens pour tous les acteurs de prendre conscience des obligations qui leur incombent et des risques qu'ils encourent. D'autres éléments de réponse pourraient certainement être soulevés.

A se liguer contre les applications de Google et Facebook, Apple ne risque-t-il pas d'être perdant ? D'ailleurs, du point de vue du droit de la concurrence, est-ce qu'Apple a le droit de faire ce "tri" sur le critère des données personnelles ? 

Les nouvelles règles en matière de responsabilité issues du RGPD incitent les acteurs à choisir scrupuleusement leurs partenaires et sous-traitants et à cesser toutes relations contractuelles avec ceux ne présentant pas les garanties appropriées en termes de conformité au RGPD. C'est pour cette raison que de nombreuses entités annexent actuellement des avenants à leurs contrats en-cours, le but étant de s'assurer du niveau de garantie mis en oeuvre par leur cocontractant. Sur la base de ce constat, Apple devrait pouvoir légalement choisir les entités dont il utilise les produits et services.