Ce lundi, l’association viennoise noyb a déposé un recours contre la Commission nationale de la protection des données (CNPD) luxembourgeoise devant le tribunal administratif. Un événement inédit qui révèle les limites du fonctionnement de ladite commission.
Le RGPD n’est pas une chose simple – pourtant, quand les commissions chargées de la protection des données ne font pas leur travail, on n’est pas sortis de l’auberge. (Pixabay – The digital artist)
À la base, l’histoire est simple : un utilisateur luxembourgeois tape son propre nom dans un moteur de recherche. Il trouve, parmi d’autres occurrences, que son nom, ses profils sur les réseaux sociaux et même une photo sont référencés par deux sites américains : Rocket Reach et Apollo.io. Ces derniers collectent des informations personnelles glanées sur le net et les combinent en des profils qu’ils vendent par la suite à des entreprises de marketing, voire à des partis pour des campagnes politiques. En d’autres mots, ils commercialisent des données personnelles – ce qui n’est pas illégal si la personne propriétaire de ces données est consentante. Mais dans le cas contraire, le RGPD interdit un tel usage – même si la firme qui exploite les informations n’est pas basée dans l’Union européenne, mais aux États-Unis, comme dans ce cas.
Et c’est là où devraient intervenir les DPA (data protection agencies) européennes, comme la CNPD luxembourgeoise. Sauf que, dans ce cas, elle ne l’a pas fait. La CNPD, après avoir reçu la plainte, s’est contentée de constater que les deux firmes n’avaient pas de représentantes en Europe et que, en conséquence, elle ne pouvait pas poursuivre le traitement de la réclamation.
Pour Catherine Warin, l’avocate mandatée par noyb (None of Your Business, association autrichienne fondée par l’activiste Max Schrems) pour déposer le recours contre les décisions de la CNPD, cela s’apparente à un déni de justice : « Le RGPD donne à la CNPD des pouvoirs d’enquête. Dans ce cas, elle a arrêté son enquête bien trop vite. Déjà, le fait que les firmes n’ont pas représentation au niveau européen est illégal, selon le RGPD », précise-t-elle au woxx.
La CNPD ouvre-t-elle les portes aux abus ?
L’idée derrière cette citation devant le tribunal administratif n’est pas uniquement de démontrer les insuffisances qui frappent encore la CNPD, mais aussi de laisser les juges clarifier une fois pour toutes : un-e citoyen-ne européen-ne a-t-il ou elle le droit de contester la commercialisation de ses données outre-Atlantique ?
Et ce n’est pas une mince affaire : « En limitant ses compétences, la CNPD a ouvert la porte à des abus potentiels dans l’avenir », affirme Catherine Warin. En effet, réglementer le traitement des données pour raisons commerciales est une des compétences centrales du RGPD, et si maintenant une commission nationale se déclare incompétente pour l’accomplissement de ses devoirs dans le sens du règlement, c’est assez grave. D’autant plus que les responsables de la CNPD ne semblent pas être à la hauteur du problème, vu que leurs données figuraient aussi dans le répertoire Rocket Reach jusqu’il y a peu. La plainte du résident luxembourgeois semble leur avoir ouvert les yeux – car actuellement, ils et elles n’y sont plus.
Les membres de la commission ont donc probablement fait la même chose que leur plaignant : adressé une DSAR (data subject access request) à Rocket Reach. Un premier pas logique, comme nous l’a expliqué le plaignant, que nous avons pu dénicher mais qui préfère rester anonyme. D’ailleurs, il n’est même pas en contact avec l’avocate mandatée par noyb – histoire de rendre le recours le plus impersonnel possible.
À la suite de sa DSAR, Rocket Reach a tout simplement enlevé les données du plaignant. Ce qui n’était pourtant pas ce qu’il avait demandé : « Je voulais savoir où ils avaient trouvé les données, sur quelle base légale ils les traitaient et s’ils les commercialisaient », raconte-t-il au woxx. Ce à quoi Rocket Reach n’a pas répondu – une pratique apparemment courante quand les responsables du traitement des données de telles entreprises s’aperçoivent qu’ils et elles ne sont pas dans la légalité et que quelqu’un les prend en flagrant délit.
D’ailleurs, la communication avec l’autre entreprise qui stockait et vendait les données du plaignant s’est avérée encore plus difficile : « Apollo voulait me forcer à suivre toute une procédure, incluant une copie de ma carte d’identité et une signature sur l’honneur », indique le plaignant. Des demandes auxquelles il n’a pas donné suite.
Pixabay – The digital artist
Interaction kafkaïenne
Commence alors son interaction fastidieuse avec la CNPD, un vrai parcours du combattant. En tout, il aura fallu presque un an à la CNPD pour constater qu’elle ne peut ou ne veut rien faire. Nous avons pu consulter un échange de courriers entre la commission et le plaignant, et les résultats lèvent des doutes sur la performance de la CNPD : la plainte initiale a été confirmée début avril 2019 – c’est le moment où l’enquête commence officiellement, avec l’enregistrement d’un numéro de suivi pour la plainte. Après, c’est silence radio de la part de la CNPD, et les courriels que le plaignant envoie pour savoir où en est son histoire restent sans réponse. « Et cela alors que la CNPD est obligée, selon le RGPD, de m’informer du progrès et du statut de mon enquête », constate le plaignant. Ce n’est qu’à coup de courriers recommandés qu’il obtient une réponse, une année plus tard – en mai 2020. Dans ce courrier, la CNPD indique que dans « le cadre de l’instruction de [sa] réclamation, la société Rocket Reach [lui] a communiqué qu’elle considère que ce sont les utilisateurs de ses services, et non elle-même, qui sont les responsables du traitement pour ce qui concerne les données à caractère personnel traitées sur son site internet ». La CNPD considère alors que la firme n’a pas de représentante européenne et conclut : « Bien que nous ne partagions pas le point de vue de Rocket Reach et que nous soyons au contraire d’avis que cette société est bien à considérer comme responsable du traitement pour les traitements de données à caractère personnel effectués sur son site internet, il nous est impossible de poursuivre plus en avant le traitement de votre réclamation. En effet, nous ne disposons pas des pouvoirs de mener des enquêtes et de faire appliquer les décisions que nous serions amenés à prendre sur le territoire des États-Unis d’Amérique. » Un raisonnement que le plaignant et noyb contestent – et que le tribunal administratif devra clarifier.
Mais ce n’est pas tout. Suite à un courrier en réponse à cette décision, la CNPD explique vertement dans sa réponse que sa décision n’en était pas une, puisqu’il s’agissait d’une réclamation de la part du plaignant. Or, si la commission décide de ne pas ouvrir une enquête, comme dans ce cas, elle ne peut pas arriver à une décision. Et sans décision, pas moyen de s’y opposer. Vu que, comme la CNPD l’admet elle-même dans son courrier, il n’existe pas de critères législatifs qui définissent quand elle doit ouvrir une enquête, il reste un sentiment d’impuissance chez le plaignant.
Tine A. Larsen ne peut pas commenter publiquement
La CNPD elle-même est restée silencieuse sur son rendez-vous avec la justice. Suite au catalogue de questions que le woxx lui a envoyé, la présidente Tine A. Larsen nous a répondu que sa commission n’avait pas encore reçu les recours, et qu’ensuite elle allait « les analyser comme il le faut et prendre une position. Cela ne sera pourtant pas en public, pas que nous le refusions, mais parce que la loi organique ne nous permet pas de communiquer sur des affaires en cours ».
Bref, on n’en saura pas plus de la part de cette commission qui se veut si transparente. En attendant, une chose est claire : elle ne pourra que difficilement jouer la carte du manque de moyens et de personnel. En effet, une étude du cabinet d’audit Deloitte sur les DPA européennes révèle que la CNPD est celle qui a le plus vu croître son budget en fonction du budget global de l’État au niveau européen et que, parmi les petits pays européens, elle est bien en tête.
