Privacy : les trois cibles de Noyb pour la rentrée
L'association européenne de défense de la vie privée des citoyens Noyb (non of your business) est connue pour être à l'origine des arrêts "Schrems I" et "Schrems II", du nom de son fondateur, et donc de l'annulation respectivement du Safe Harbor et du Privacy Shield. A son tableau de chasse également, de nombreuses condamnations d'acteurs puissants pour atteinte à la privacy. Or Noyb ne compte pas s'arrêter là, bien au contraire. Le JDN a pu s'entretenir avec Romain Robert, avant qu'il ne quitte sont poste de directeur juridique chez Noyb cet été. Voici ce à quoi il faut s'attendre en cette rentrée sur le front de la privacy.
1. Des plaintes en France contre les SDK mobiles
Alors qu'en France la Cnil s'intéresse de très près à la manière dont les applications mobiles traitent les données personnelles de leurs utilisateurs en multipliant les initiatives, dont une consultation publique, Noyb a décidé de frapper fort dès la rentrée. L'association a choisi la France pour déposer ses premières plaintes collectives visant des éditeurs et développeurs d'applications mobiles ainsi que leurs kits de développement logiciel (SDK) pour cause de collecte illicite des données personnelles.
"Nous contestons le fait que ces SDK aient accès aux terminaux mobiles sans autorisation. C'est en effet une pratique bien pire que les cookies. Des masses de données personnelles sont collectées et cela même en absence de consentement : Noyb peut désormais le prouver grâce aux outils technologiques que l'association a développés", a déclaré en juillet au JDN Romain Robert, directeur juridique chez Noyb jusqu'à cet été. L'ONG travaille d'arrache-pied depuis 2022 à l'élaboration de ces plaintes. "De gros acteurs sont ciblés : les développeurs doivent apprendre à questionner les commandes de leurs SDK", conclut-il.
2/ Le Data Privacy Framework dans le viseur, en ciblant des acteurs
Dès l'annonce le 10 juillet par l'Union européenne de l'adoption du Data Privacy Framework (DPF), le nouveau cadre transatlantique pour le transfert des données de l'Europe vers les Etats-Unis, Noyb déclarait "avoir plusieurs options de recours dans ses tiroirs". Même si rien n'est confirmé à ce stade, Romain Robert nous confiait cet été que l'association envisage d'avoir recours aux tribunaux et non plus aux autorités de protection des données pour contester ces transferts. "Le mieux pour Noyb serait de déposer des actions directement devant les tribunaux pour demander une cessation de tout transfert illégal de données", précisait le spécialiste. "Dans un tel cas, le juge va très certainement demander à la Cour de justice de l'UE (CJUE) de se prononcer sur la validité du DPF."
Ce n'est pas un hasard si Noyb est très critique à l'égard de ce nouveau texte. Son président, Max Schrems, est à l'origine des deux procédures qui avaient permis à la CJUE d'invalider les dispositifs précédemment établis pour encadrer ces données, respectivement le Safe Harbor invalidé en 2015 par la décision "Schrems I", et le Privacy Shield, annulé en 2020 par "Schrems II". Avec le DPF, Noyb estime que rien n'a changé : "Dans l'ensemble, le nouveau cadre transatlantique de protection des données personnelles est une copie du Privacy Shield, qui était lui-même une copie du Safe Harbor", a déclaré l'association dès que la décision de l'UE a été rendue publique, le 10 juillet.
Si l'association ne peut pas attaquer directement l'accord DPF, elle peut en revanche le faire indirectement en déposant des plaintes ou en agissant devant les tribunaux contre les acteurs qui transfèrent des données sur la base du DPF. En effet, la même plainte historique de 2013 qui avait abouti à la première invalidation des transferts de données entre l'UE et les Etats-Unis (Schrems I) était une plainte de Max Schrems contre Meta pour son implication dans la surveillance des données des citoyens européens par les autorités américaines, révélée par Edward Snowden. Cette plainte a été jugée en mai dernier : la Commission irlandaise de la protection des données (DPC) a condamné Meta l'obligeant à cesser tout transfert de données européennes vers les Etats-Unis et à s'acquitter d'une amende de 1,2 milliard d'euros.
Noyb va donc probablement changer de méthode pour contester cet accord. "L'option qui consisterait à déposer une plainte devant l'Autorité irlandaise de protection des données, comme cela a été le cas pour Schrems I et II, ne nous semble plus appropriée", explique Romain Robert. En effet, plusieurs années de procédures complexes ont été nécessaires pour aboutir à une décision de la CJUE.
Quelle que soit la forme choisie, une fois de plus les efforts déployés par les autorités européennes pour autoriser les transferts de données entre l'UE et les Etats-Unis risquent fort de se voir à nouveau bloqués prochainement.
3. Meta et les bases légales pour la collecte des données : la bataille continue
Les procédures contre Meta pour collecte illégale de données personnelles à de fins publicitaires se sont multipliées au premier semestre. Et cela va continuer. "Les choses bougent enfin. Meta doit demander leur consentement pour profiler les utilisateurs sur la base de leurs données comportementales", déclare Romain Robert.
Meta a fait appel de sa condamnation en janvier 2023 par l'autorité irlandaise de protection de données (DPC) à payer une amende de 390 millions d'euros pour des pratiques de publicité ciblée sur Facebook, Instagram et WhatsApp. En outre, l'entreprise avait changé de fusil d'épaule : au lieu de continuer d'imposer à ses utilisateurs la collecte de leurs données en se basant sur le contrat, Meta s'est mis à se servir de la base légale de l'intérêt légitime, prévue dans le RGPD, pour conforter sa pratique toujours sans demander le consentement préalable des utilisateurs. Début août nouveau rebondissement : Meta déclare son intention de se servir de la base juridique du consentement pour collecter "certaines données" lui servant à proposer de la publicité ciblée aux utilisateurs européens et suisses et ce afin de "se conformer à l'interprétation de la DPC et en vue d'anticiper l'entrée en vigueur du DMA", peut-on lire dans un billet de blog mis à jour le 1er août. L'entreprise indique vouloir partager des précisions supplémentaires dans les prochains mois.
La condamnation prononcée à son égard par la DPC (elle-même imposée par une décision du Comité européen de la protection des données, l'EDPB) est le résultat de trois importantes plaintes déposées par Noyb en 2018 contre Meta en Allemagne, en Autriche et en Belgique. Elle a permis à l'EDPB d'acter le fait que Meta ne pouvait pas imposer à ses utilisateurs dans ses conditions générales la collecte de leurs données à des fins de diffusion de publicité personnalisée. "Une décision qui implique sans doute le fait que Meta doit demander le consentement à ses utilisateurs pour continuer à leur envoyer de la publicité ciblée", précise Romain Robert.
Une importante décision prononcée par la Cour de justice de l'Union européenne (CJUE) le 4 juillet dernier dans une autre affaire, ouverte en 2019 par la Bundeskartellamt, l'Autorité de la concurrence allemande, a mis pour sa part à mal le recours à l'intérêt légitime. "La CJUE a largement fermé les portes à Meta pour utiliser les données personnelles au-delà de ce qui est strictement nécessaire pour fournir les produits de base (tels que la messagerie ou le partage de contenu) : la publicité comportementale nécessite un consentement libre et équitable de la part des utilisateurs", déclarait Noyb le même jour. Ce qui a permis à l'Autorité de protection des données personnelles norvégienne, dès le 14 juillet, de juger illégale la collecte de données personnelles à de fins publicitaires par Meta dans le cadre d'une procédure d'urgence ouverte à la suite de plaintes déposés par Noyb et qui donnait à Meta trois mois pour se conformer à compter d'août. Ces deux affaires, vont dans le même sens de resserrer l'étau autour de la plateforme et mettre à mal les recours déposés contre la décision de la DPC.
"Dans le contexte très favorable de ces différentes décisions, Noyb envisage la possibilité d'organiser des actions collectives contre Meta devant les tribunaux dans tous les pays de l'Union européenne", explique Romain Robert. Par ailleurs, malgré l'amende imposée contre Meta en janvier, Noyb estime que la décision de la DPC n'a pas couvert toutes ses demandes, dont le fait d'interdire à Meta de se servir de cookies et de pixels. L'association a déjà commencé à donner de nouvelles suites à cette procédure (tous les détails sur tous les cas en cours chez Noyb sont consultables ici). La bataille continue.