L’Union européenne est souvent critiquée pour la lenteur de ses institutions et sa distance vis-à-vis des préoccupations quotidiennes des citoyens. Or, elle nous offre ici les moyens d’agir concrètement. Tous scandalisés que nous sommes par le mépris révélé de nos libertés par les big tech, le temps de la prise de conscience laisse place à celui de l’action.
À l’aube de l’application du RGPD, un possible contentieux sur le transfert des données à caractère personnel vers les USA et plusieurs initiatives pour protéger les consommateurs dans l’économie numérique indiquent que l’Union européenne se montre de plus en plus offensive afin de garantir au citoyen un marché unique numérique plus équitable et transparent.
RGPD : bientôt le jour J
Alors que certaines entreprises sont encore en plein rush pour recruter leur data protection officer, les internautes cernent plus clairement l’intérêt de ce texte pour leur utilisation quotidienne de services dans l’espace numérique, surtout depuis le scandale Facebook-Cambridge Analytics.
De la machine à café au dernier briefing de son manager, il est impossible d’avoir échappé à cet acronyme « RGPD » et c’est tant mieux ! D’ailleurs Mark Zuckerberg contribue à sa « promotion » en affirmant lors de son audition au Sénat américain qu’il s’agissait d’une chose positive.
Chacun développe son arc « jurigeek » et a retenu, pour résumer : les nouveaux droits affirmés tels que l’accès à leurs données, l’effacement et la portabilité, la transparence dans les finalités de la collecte et du traitement, l’impact sur les conditions générales d’utilisation et de vente, et la politique de confidentialité, mais aussi sur les méthodes de marketing ciblé… et surtout la possibilité d’exercer une action de groupe et le montant de l’amende pour les manquements au RGPD : 4 % du chiffre d’affaires global ou 20 millions d’euros.
Eh oui ! Même nos parents (voire nos grands-parents !) ont compris comment les GAFAMI (GAFA+Microsoft+IBM) transforment leurs données en or. Mais nos enfants, eux l’ont-ils bien compris et surtout les plus jeunes entre les mains desquels nous laissons nos téléphones ou nos tablettes ?
L’actuelle contestation judiciaire par Google du droit à l’effacement pourtant reconnu par la Cour de justice de l’Union européenne doit en tous cas nous convaincre, si c’était nécessaire, que ces droits aussi fondamentaux soient-ils ne s’appliqueront pas instantanément le 25 mai 2018 à minuit une. J’ose espérer que la pression médiatique ne retombera pas comme un soufflet et que, au hasard, le project manager ne souffrira pas de « schizophrénie RGPDienne » à savoir : réclamer la protection de sa vie privée à titre individuel tout en ne mettant pas en pratique le règlement dans son entreprise.
Un risque imminent de contestation du transfert des données de l’UE vers les USA ?
Les plus experts savent que le RGPD maintient la possibilité d’un tel transfert avec comme voie royale la décision d’adéquation prise par la Commission européenne. Or, le fondement juridique actuel (Privacy Shield) adopté en 2016 suite à la crise internationale provoquée par Alexander Schrems, est loin de satisfaire l’Union européenne.
En effet, dans leurs rapports respectifs sur a mise en œuvre du Privacy Shield, la Commission européenne et le G29 (groupe des CNIL de l’Union européenne) expriment leurs « inquiétudes » sur les aspects commerciaux et gouvernementaux de ces transferts. En particulier, le contenu du texte n’est pas suffisamment précis sur les droits des sujets des données (nos droits donc !) et sur les voies de recours possibles puisque le médiateur de ce dispositif n’a pas encore été nommé… Rappelons qu’une médiation ne répond aucunement à la définition d’une voie de recours…
Ce langage diplomatique dénonce la discrimination contre les citoyens non américains avalisée par Donald Trump qui les prive tout simplement de voies de recours effective devant les juridictions américaines.
Des secteurs tels que la santé et les ressources humaines sont pointées du doigt. Ceux qui ont suivi la première audition de Mark Zuckerberg se souviennent que la sénatrice Maria Cantwell (Washington) lui avait précisément demandé si Facebook avait « partagé » les données de ses utilisateurs avec la société Palatine Analytics dont l’activité n’est autre que l’utilisation de l’intelligence artificielle sur le lieu de travail. Ce à quoi le CEO avait répondu qu’il ne savait pas… Or, les données à caractère personnel collectées dans ce contexte sont dites sensibles en raison des discriminations qu’elles pourraient générer (accès à l’emploi, salaires, mais aussi obtention d’un prêt, etc.).
C’est donc bien plus qu’une « interférence » avec la protection des données qu’il faut ici dénoncer. Le renouvellement de la cour du FISA (Foreign Intelligence Surveillance Act, loi sur la surveillance et le renseignement) pour 6 ans et sans modification le 11 janvier 2018 par Donald Trump et l’adoption en catimini du CLOUD Act doivent susciter notre colère et surtout une réaction de l’Union européenne.
L’eurodéputé Claude Moraes a déposé en ce sens une résolution rappelant la nécessité d’avoir un Privacy Shield qui reflète le RGPD dans le respect des droits des internautes et des règles de concurrence, à défaut une procédure judiciaire serait lancée. Espérons que ce train législatif
ne déraillera pas.
Les réactions de l’UE face à la domination du marché unique par les big tech américaines
L’étau juridique se resserre autour des big tech depuis trois ans et l’apparition de la notion de fairness notamment dans le domaine des pratiques anti-concurrentielles où la politique européenne a pour but de créer des règles du jeu véritablement équitables et d’accroître la transparence.
La Commission européenne sanctionne d’abord la violation des règles européennes en matière d’aides d’État. Elle a ainsi conclu que l’Irlande avait accordé à Apple des avantages fiscaux indus pour un montant de 13 milliards d’euros : la répartition interne artificielle de ses bénéfices au sein d’Apple Sales International et d’Apple Operations Europe n’était justifiée ni sur le plan factuel ni sur le plan économique. Elle a formulé une conclusion comparable vis-à-vis du Luxembourg pour avoir accordé à Amazon des avantages fiscaux indus pour un montant d’environ 250 millions d’euros.
C’est aussi sur le terrain du contrôle des concentrations que le gendarme de l’Union européenne intervient. L’an dernier Facebook a été frappée d’une amende de 110 millions d’euros pour avoir fourni des renseignements inexacts ou dénaturés au cours de l’enquête que la Commission avait effectuée en 2014 concernant son acquisition de WhatsApp.
Elle a ensuite infligé à Google une amende record de 2,42 milliards d’euros pour abus de position dominante sur le marché des moteurs de recherche pour avoir favorisé son propre service de comparaison de prix Google Shopping.
Toujours sur le fondement du règlement de l’UE sur les concentrations, la Commission européenne vient d’ouvrir une enquête approfondie sur le projet d’acquisition de Shazam par Apple : elle craint que la concentration ne réduise le choix qui s’offre aux utilisateurs de services de diffusion de musique en continu.
Les plates-formes de réservation hôtelière en ligne sont aussi dans son collimateur à la lecture du rapport de la direction générale de la concurrence. D’ailleurs un projet de directive a été déposé visant à doter les autorités de concurrence des États membres des moyens de mettre en œuvre plus efficacement les règles de concurrence et à garantir le bon fonctionnement du marché intérieur.
La stratégie du marché unique numérique : un new deal pour les consommateurs ?
« Garantir, dans l’économie en ligne, un environnement équitable, prévisible, durable et suscitant la confiance » tel est l’objectif annoncé par le président de la Commission européenne Jean‑Claude Junker dans son discours sur l’état de l’Union en septembre 2017.
Les nouvelles règles présentées le mois dernier qui s’adressent aux plates-formes en ligne offriront aux petites entreprises un filet de sécurité dans l’économie numérique.
Le règlement couvrira les plates-formes d’intermédiation en ligne et les moteurs de recherche généralistes qui fournissent leurs services à des entreprises établies dans l’UE et proposent des biens ou des services à des consommateurs situés dans l’UE, peu importe le lieu du siège social de l’entreprise opérant la plate-forme, comme pour le RGPD.
Le règlement des différends sera facilité par le recours à la médiation avec également pour les associations le droit de saisir la justice au nom des entreprises afin de faire appliquer les nouvelles règles en matière de transparence et de règlement des différends.
Cette initiative est complétée par un projet de directive qui propose notamment la création de recours individuels en faveur des consommateurs victimes de pratiques commerciales déloyales qui devraient bénéficier d’un droit de réparation individuelle (par exemple, une compensation financière). Il sera possible de recourir à des ordonnances d’injonction pour garantie une réparation pour les consommateurs en cas de préjudice de masse dans le cadre d’un recours collectif face à une situation telle que le DieselGate.
La transparence des algorithmes, la sécurité des objets connectés sont les défis auxquels un groupe d’experts formé par la Commission européenne devra répondre afin d’évaluer si et dans quelle mesure les régimes de responsabilité existants sont adaptés aux réalités du marché qui émergent à la suite du développement de nouvelles technologies au sens large, parmi lesquelles l’intelligence artificielle, la robotique avancée, l’Internet des objets et les questions de cybersécurité.