« LA COLLECTE AURAIT DÛ ÊTRE FAITE DE FAÇON LOYALE »
Alexandre Archambault est avocat, fin connaisseur du droit des nouvelles technologies et des données personnelles. Il fut directeur des affaires règlementaires de Free, en charge du pôle Internet et Cybersécurité.
Avec votre oeil de juriste, comment analysez- vous cette affaire ?
Quel plus beau cas pour faire taire les derniers sceptiques sur l’intérêt du RGPD ! Ce n’est pas une affaire limitée à un pays donné, mais qui peut concerner l’ensemble des clients d’une plate- forme. Cela nous conduit donc à raisonner en approche globale, ici à la maille de l’Europe qui, rappelons- le, est en termes d’utilisateurs devant les États- Unis, alors que jusqu’à présent les législations nationales étaient un peu désemparées.
Pourquoi désemparées ?
Des juridictions étaient prêtes à faire de la créativité, typiquement en France où on a considéré que dès lors que Facebook ciblait un utilisateur français, alors le droit national de la consommation ainsi que celui de la protection de la vie privée et des données personnelles devaient s’appliquer. On restait néanmoins sur notre faim. Si cette affaire était arrivée avec un RGPD d’ores et déjà appliqué, on aurait eu l’exemple concret que ce texte n’est pas là pour embêter le monde. Il permet au contraire de traiter les failles du dispositif sous un angle européen. L’argument qui consiste à dire que les données ont été communiquées par les internautes au réseau social est d’ailleurs insuffisant. Le RGPD ne se limite pas qu’à la seule collecte, mais vise également le traitement et l’exploitation des données. En amont, la finalité doit être présentée de façon claire et loyale, en aval on doit s’attacher à ce que le traitement et l’exploitation respectent les finalités exposées. Autant de conditions qui semblent faire défaut dans l’af- faire Facebook/ Cambridge Analytica puisque la finalité du traitement des données collectées sous forme d’un test de personnalité s’est avérée à mille lieues de ce qui a été présenté.
Que peut faire une personne qui s’estime avoir été victime de Facebook ou de Cambridge Analytica ?
Déjà, elle peut retirer son consentement gratuitement et simplement. Facebook a mis en place une nouvelle interface qui permet à chacun de vérifier et révoquer les autorisations des applications tierces. Sur la réparation du préjudice, il peut y avoir une faute de la part de celui qui a collecté les données, celle de ne pas avoir été suffisamment vigilant que ce soit en amont avec la présentation des finalités du traitement, le recueil du consentement, mais également en aval avec la protection de la confidentialité des données collectées ainsi que le contrôle de l’usage qui peut en être fait par des tiers. Comme l’a déjà décidé la Cnil dans de récentes décisions anticipant le RGPD, on ne peut plus se retrancher derrière la cape du sous- traitant. Sur le terrain civil, une victime peut d’ores et déjà monter un dossier d’indemnisation, avec un cheminement classique : la démonstration d’une faute, d’un préjudice et d’un lien de cause à effet. Il reste également la possibilité de saisir la Cnil pour faire sanctionner de tels comportements, étant précisé qu’elle ne peut procéder à l’indemnisation des préjudices individuels – il faut saisir le juge pour cela. Cependant, l’enquête se fera sous l’emprise préRGPD alors qu’à partir du 25 mai, les obligations seront nettement plus claires. Les sanctions peuvent atteindre des niveaux dissuasifs pour inciter les entreprises à respecter la philosophie du règlement, – qui, rappelons- le, est un texte profondément novateur car il privilégie la confiance et la responsabilisation au contrôle bureaucratique – et collaborer avec les autorités en charge de la protection des données personnelles.