Le 4 janvier 2021, en guise de vœux pour la nouvelle année, WhatsApp Inc. dévoilait à ces quelques deux milliards d’utilisateurs sa nouvelle politique de partage des données. La réaction a été univoque dans le monde entier : un tollé général s’est soulevé à l’encontre de la multinationale, mêlant l’indignation et la désinformation, brouillant la vision de ceux qui y voulaient voir clair. Une fois la tempête apaisée, des précisions importantes ont été apportées par des représentants de WhatsApp Ireland Ltd, la filiale européenne de l’entreprise américaine. Les nouvelles conditions d’utilisation n’auraient pu en aucun cas s’appliquer aux utilisateurs européens en vertu du règlement général sur la protection des données (RGPD).
Le RGPD : « l’étoffe d’un succès »
Le RGPD, salué par la Commission européenne comme franc succès, de par sa popularité, est une loi censée encadrer la collecte, le traitement, la sauvegarde et le partage des données des internautes européens par les entreprises. De surcroît, elle introduit dans la législation régulant le numérique des notions juridiques traditionnelles, tel que le concept de consentement éclairé, ce qui implique que l’entreprise récoltant les données personnelles en précise les modalités et les buts, ou tel que le droit opposable, c’est-à-dire le droit de révoquer ou modifier ses choix relatifs à ce même consentement.
En l’occurrence, la nouvelle politique de partage des données annoncée par Whatsapp Inc. prévoyait que certaines informations personnelles concernant les utilisateurs de la messagerie soient partagées avec Facebook Inc, société mère de WhatsApp Inc. depuis 2014. Toutefois, le partage de ce type n’est pas à priori interdit par le RGPD. En effet, la transmission de ces données entre Whatsapp et Facebook est effective et légale, sous réserve que l’utilisateur donne son consentement explicite. Avec la nouvelle politique, c’est bien cette condition qui tomberait à l’eau : le partage deviendrait automatique et non pas optionnel.
Un cas pratique : Facebook
Le cadre réglementaire fourni par le RGPD couvre également le transfert de données européennes vers des pays tiers. Ainsi, si une entreprise située dans l’Union Européenne par le biais d’une filiale souhaite partager des données personnelles relatives à des internautes européens avec sa maison mère basée aux États-Unis ou en Chine, elle doit avoir l’accord préalable de la Commission européenne. Pour obtenir le feu vert de la Commission, une entreprise - voire un pays - doit parfois faire preuve d’un « niveau adéquat de protection » dans le traitement de telles données. Cela a été notamment le cas pour Facebook Inc., avec un siège en Californie, incarnée sur le territoire européen par son entité Facebook Ireland.
Mais l’aval de la Commission pour un transfert extra-européen de données à caractère personnel peut être remis en question. C’est ce qui s’est notamment passé avec les arrêts Schrems I et Schrems II, où un citoyen autrichien, utilisateur de Facebook, a déposé une plainte visant à arrêter le transfert de ses données de Facebook Ireland Ltd vers Facebook Inc. Le 16 juillet 2020, la Cour de Justice de l’Union (CJUE) a finalement invalidé la décision de la Commission relative à l’adéquation de la protection des données par Facebook Inc., laissant une sorte de vide juridique qui demande encore à être comblé.
Un autre élément qui a été évoqué dans l’actuelle polémique concerne une décision relevant de la politique européenne de la concurrence. Le 3 octobre 2014, à la suite d’une étude minutieuse sur les risques anticoncurrentiels découlant d’une acquisition de WhatsApp par Facebook, la Commission européenne s’est prononcé en faveur de ladite concentration. L’opération aurait été validée dans la perspective de stimuler l’innovation, mais selon certains détracteurs, le DG Concurrence aurait pris l’affaire à la légère. Ce point de vue a acquis d’autant plus d’ampleur quand, le 18 mai 2017, la Commission européenne a infligé une amende de 110 millions d’euros à Facebook pour avoir fourni des informations dénaturées au cours de l’enquête sur l’acquisition. Somme toute, la transaction était légitimement questionnable.
Vers une généralisation des pratiques protectrices du consommateur ?
En décembre 2020, la Commission a présenté deux nouveaux outils de contrôle du marché numérique, le Digital Market Act (DMA) et le Digital Service Act (DSA). Avec ces paquets de dispositions, la Commission souhaite se prémunir à la fois contre la formation de quasi-monopoles dans le marché numérique et contre les atteintes à la vie privée des consommateurs, tout en renouvelant son attachement à son rôle de puissant régulateur.
L’enjeu est de taille : le concept de « souveraineté numérique » n’est pas un simple expédient stratégique pour asseoir la légitimité politique de l’apparat exécutif européen face aux multinationales. Au contraire, comme le rappelait Ursula von der Leyen dans son “Programme pour l’Europe”, le contrôle de ces ressources représenterait non seulement un moyen d’accompagner la transition écologique, mais aussi de parvenir à une société plus équitable. La réglementation du secteur numérique permettrait notamment de mettre en place une fiscalité plus adaptée à ce marché et de garantir aux internautes une utilisation de la « toile » plus sécurisée et respectueuse de la vie privée. Cette proposition étant partagée avec la vague d’indignation généralisée face aux annonces de WhatsApp, par un grand nombre de citoyens.
Suivre les commentaires : |