Amazon, TikTok et WhatsApp ont été respectivement condamnés au Luxembourg, aux Pays-Bas et en Irlande pour non respect de la législation européenne.
« Les autorités chargées de la protection des données ont usé de manière équilibrée des pouvoirs renforcés qui leur sont conférés en ce qui concerne l’application de mesures correctrices. »1 L’actualité récente semble faire écho à l’appréciation ainsi portée par la Commission européenne, en juin 2020, sur l’application, depuis son entrée en vigueur le 25 mai 2018, du règlement général sur la protection des données (RGPD) du 27 avril 20162.
Entre juillet et septembre 2021, les autorités de contrôle de trois États membres de l’Union européenne ont successivement infligé de lourdes amendes administratives à trois acteurs majeurs du numérique, pour violation de la réglementation européenne sur la protection des données. Le 15 juillet 2021, la Commission nationale de protection des données (CNPD) luxembourgeoise a condamné la société Amazon Europe Core à payer une amende d’un montant record de 746 millions d’euros3. Le 22 juillet 2021, la Commission à la protection des données (CBP) des Pays-Bas a prononcé une amende de 750 000 euros à l’encontre de la plateforme TikTok. Le Commissaire irlandais à la protection des données (DPC) a enfin, le 2 septembre 2021, infligé une amende de 225 millions d’euros à l’application de messagerie WhatsApp. Cette succession de sanctions infligées aux grands acteurs du numérique traduit l’indéniable efficacité du système européen de protection des données personnelles. Mais elle révèle aussi les inévitables imperfections du mécanisme de cohérence dans l’application du règlement par les autorités nationales de contrôle.
Efficacité du système européen de protection des données personnelles
Les condamnations récemment prononcées par les autorités de contrôle luxembourgeoise, néerlandaise et irlandaise à l’encontre de trois géants du numérique constituent autant d’illustrations de l’exercice, par ces autorités, du pouvoir qui leur a été attribué par le RGPD de sanctionner les manquements. Elles témoignent aussi de l’efficacité de la procédure de coopération et d’assistance mutuelle mise en œuvre entre ces autorités.
Exercice du pouvoir de sanction par les autorités nationales de contrôle
À la différence de la directive antérieure4 qui laissait aux États membres le soin de déterminer les sanctions applicables aux manquements à la protection des données personnelles, l’article 83 RGPD donne aux autorités nationales de contrôle le pouvoir d’imposer, à titre de sanctions des violations des dispositions du règlement, des amendes administratives « pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ». C’est sur le fondement de cette disposition qu’ont été prononcées les trois sanctions évoquées.
L’amende de 746 millions d’euros infligée à Amazon par la CNPD luxembourgeoise revêt, à cet égard, un caractère exemplaire et marque, par son exceptionnel montant, une indéniable évolution dans l’application du RGPD. Cette sanction n’est pas la première prononcée contre la société Amazon pour violation du RGPD. La formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) l’avait déjà condamnée, le 7 décembre 20205, au paiement d’une amende de 35 millions d’euros pour violation de la réglementation sur les cookies. Mais la sanction prononcée par la CNPD reste la plus lourde amende infligée à un responsable de traitement depuis l’entrée en vigueur du RGPD.
Plus modeste, l’amende de 750 000 euros infligée à TikTok par la Commission à la protection des données des Pays-Bas sanctionne la violation de la protection des données personnelles pour les enfants que la plateforme, dont les conditions d’utilisation ne sont disponibles qu’en anglais, ne met pas en situation d’effectuer un choix libre quant à l’utilisation de leurs données. Dans un communiqué6, la CBP a estimé que, « en ne proposant pas sa déclaration de confidentialité en néerlandais, TikTok n’a pas fourni d’explication adéquate sur la façon dont l’application collecte, traite et utilise les données personnelles ».
Quant à la condamnation de WhatsApp par le Commissaire irlandais à la protection des données, elle sanctionne la violation des obligations de transparence à l’égard des utilisateurs de la messagerie et des tiers, en raison du caractère incomplet de la politique de confidentialité de l’application, tant en ce qui concerne le partage des données des utilisateurs que l’aspiration de leurs répertoires téléphoniques au détriment des tiers. Dans cette affaire, la sanction de 50 millions d’euros initialement envisagée par l’autorité irlandaise a été portée à 225 millions d’euros après l’intervention du Comité européen de la protection des données, l’organe de collaboration entre autorités nationales de contrôle, institué par l’article 68 RGPD, qui prouve ainsi son efficacité. Il en est de même du mécanisme dit « de guichet unique » et de la procédure de coopération mise en place entre les autorités nationales de contrôle.
Coopération entre autorités nationales de contrôle
La décision prise contre Amazon par la CNPD luxembourgeoise résulte de la mise en œuvre du mécanisme dit « de guichet unique » et de la procédure de coopération entre autorités de contrôle prévus par le RGPD. En l’espèce, l’association La Quadrature du net avait, juste après l’entrée en vigueur du RGPD, fin mai 2018, déposé à la Cnil une plainte visant collectivement Amazon, Facebook, Apple, Microsoft et Google et invoquant l’absence de consentement libre des internautes à la collecte de leurs données personnelles par ces différentes sociétés.
En application du mécanisme dit « de guichet unique » institué par l’article 56 RGPD, la plainte visant Amazon, dont le siège européen est situé au Luxembourg, a été renvoyée par la Cnil à la CNPD luxembourgeoise. Dans le souci de garantir l’effectivité de la protection des données personnelles des citoyens européens et d’assurer une application uniforme du RGPD dans les différents États membres, son article 56 donne en effet compétence à une « autorité de contrôle chef de file » pour contrôler les traitements transfrontaliers de données effectués par un responsable de traitement. L’autorité « chef de file » désignée est, selon cette disposition, « l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable de traitement ». La Cnil a donc logiquement transmis à l’autorité luxembourgeoise la plainte déposée contre Amazon et au régulateur irlandais les plaintes formées contre Facebook, Apple, Microsoft et Google, dont les sièges européens sont situés en Irlande.
Conformément à la procédure de « coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées », mise en place par l’article 60 RGPD et à l’assistance mutuelle entre ces autorités imposée par son article 61, la Cnil a coopéré avec la CNPD luxembourgeoise pendant toute la durée de la procédure. Les plaintes transmises par la Cnil au Commissaire irlandais à la protection des données n’ont, en revanche, fait encore l’objet d’aucune décision.
Imperfections du mécanisme de contrôle de la cohérence dans l’application du RGPD
Tout en illustrant l’effectivité de la mise en œuvre des droits reconnus aux citoyens européens à l’égard des responsables de traitement de leurs données personnelles, les trois condamnations récemment prononcées par les autorités de contrôle luxembourgeoise, néerlandaise et irlandaise n’en soulignent pas moins, sinon les imperfections du RGPD, les difficultés de son application uniforme dans l’ensemble des pays de l’Union. La mise en œuvre du mécanisme de cohérence entre autorités de contrôle se heurte encore aux disparités des législations nationales relatives à la publication des décisions de ces autorités et aux divergences de leurs pratiques respectives.
Disparités des législations nationales relatives à la publication des décisions de sanction
Dans son chapitre VI relatif aux « autorités de contrôle indépendantes », le RGPD édicte un certain nombre de règles concernant leur indépendance, leurs « compétence, missions et pouvoirs » et le statut de leurs membres. L’article 54 laisse néanmoins aux États membres le soin de fixer les « règles relatives à l’établissement de l’autorité de contrôle ». L’harmonisation des législations nationales réglementant le fonctionnement de ces autorités semble encore insuffisante pour permettre une application uniforme des dispositions du RGPD, notamment en ce qui concerne la publication des décisions de sanction.
En France, la formation restreinte de la Cnil peut décider, dès leur notification au responsable de traitement, de rendre publiques ses décisions de sanctions sur le site internet de la Commission et sur le site Légifrance7. Au Luxembourg, en revanche, la CNPD se refuse à publier, avant l’épuisement des voies de recours, les décisions de condamnation adoptées. Ce n’est qu’après l’annonce faite par Amazon, le 30 juillet 2021, de sa condamnation par la CNPD et de sa volonté de faire appel de cette sanction, considérée comme « sans fondement », que la Commission luxembourgeoise s’est résolue à diffuser, le 6 août 2021, un bref communiqué sur la décision rendue. Sans faire état des motifs de la condamnation, la CNPD se contente d’y « confirmer que sa formation restreinte a rendu une décision le 15 juillet 2021 concernant Amazon Europe Core S.à r.l dans le cadre du mécanisme européen de coopération et de cohérence tel que prévu par l’article 60 du RGPD ». Elle rappelle que l’obligation au secret professionnel, imposée à ses agents par une loi du 1er août 20188, « l’empêche de communiquer en détail sur un dossier spécifique » et que la publication des décisions peut être ordonnée à titre de sanction complémentaire. La décision prise contre Amazon en juillet 2021 n’a donc fait l’objet d’aucune diffusion publique, ce qui ne permet pas de connaître le fondement de la condamnation prononcée et les dispositions du RGPD dont la violation a été sanctionnée. Cela fait nécessairement obstacle à l’élaboration d’une véritable « doctrine » commune aux différentes autorités nationales de contrôle dans l’application du Règlement.
Divergences des pratiques respectives des autorités nationales de contrôle
Les divergences existant entre les pratiques respectives des autorités nationales de contrôle des vingt-sept États membres ne facilitent pas non plus l’application cohérente du RGPD dans l’ensemble de l’Union européenne. L’autorité irlandaise est, en particulier, la cible de critiques régulières. Il lui est reproché à la fois la lenteur du processus de traitement des plaintes et son insuffisante sévérité à l’égard des Gafam, dont un certain nombre sont établis en Irlande.
Les plaintes formées par la Quadrature du net contre Facebook, Apple, Microsoft et Google ont été transmises par la Cnil au DPC irlandais mais n’ont encore donné lieu à aucune décision. De façon plus générale, les décisions de sanction émanant de l’autorité irlandaise sont très rares. À ce jour, la seule condamnation prononcée par cette autorité est une amende de 450 000 euros, infligée à Twitter en décembre 2020 pour défaut de notification d’une fuite de données personnelles.
Au-delà du cadre juridique contraignant mis en place par le RGPD pour assurer la protection des données personnelles en Europe, l’effectivité de ce droit fondamental des citoyens nécessite encore un effort d’harmonisation entre les autorités nationales de contrôle et, comme l’écrit la Commission européenne dans son rapport d’évaluation, « le développement d’une véritable culture commune en matière de protection des données ».
Sources :
- Communication de la Commission au Parlement européen et au Conseil, « La protection des données : un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique – deux années d’application du règlement général sur la protection des données », COM (2020), 264 final, eur-lex.europa.eu, 24 juin 2020.
- Règlement (UE) 2016/769 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, JOUE L 119, eur-lex.europa.eu, 4 mai 2016.
- CNPD, « Décision concernant Amazon Europe Core S.à r.l. », cnpd.public.lu/fr/, 6 août 2021.
- Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE n°L 281/45, 23 novembre 1995.
- Délibération de la formation restreinte n° SAN-2020-013 du 7 décembre 2020 concernant la société Amazon Europe Core, legifrance.gouv.fr/cnil.
- Cité par Le Figaro avec Agence France Presse, « Données personnelles d’enfants : 750 000 euros d’amende pour TikTok aux Pays-Bas », lefigaro.fr, 22 juillet 2021.
- Article 70 du Règlement intérieur de la Cnil, cnil.fr.
- Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 […], legilux.public.lu.