L'ONG Noyb porte plainte pour corruption contre la CNIL irlandaise

Posté par  . Édité par Ysabeau 🧶 🧦, Pierre Jarillon, Julien Jorge et Benoît Sibaud. Modéré par Julien Jorge. Licence CC By‑SA.
104
7
déc.
2021
Justice

Noyb, l’ONG autrichienne de défense des droits numériques, porte plainte contre la DPC (l’homologue irlandaise de la CNIL) pour corruption en faveur de Facebook et dévoile des documents liés à sa procédure contre Facebook dans ses « lectures de l’Avent ». On y découvre notamment un régulateur irlandais défendant les intérêts de la firme américaine dans la procédure lancée par Noyb mais aussi auprès des autres autorités nationales de protection des données du continent.

Noyb (None Of Your Business = « pas tes affaires » en anglais) est une association autrichienne créée en 2017 par Max Schrems, activiste connu pour avoir fait annuler les accords Safe Harbor en 2015 et Privacy Shield en 2020, accords autorisant sous certaines conditions les transferts de données personnelles entre l’Union Européenne et les États-Unis d’Amérique.

L’association a initialement porté plainte contre Facebook dès l’entrée en vigueur du RGPD en 2018, auprès de la DSB, la CNIL autrichienne. Celle-ci avait alors transmis la plainte à l’autorité de protection des données « référente » pour Facebook en Europe, soit la CNIL irlandaise, comme le prévoit le RGPD.

C’est après trois ans de procédure ne menant à rien que Noyb annonce le 23 novembre 2021 que la CNIL irlandaise lui demande de signer un accord de confidentialité, faute de quoi l’association serait déboutée de sa plainte contre Facebook. Noyb souligne l’absence de toute base légale pour cette demande de confidentialité, que ce soit sur la base du droit irlandais ou du droit autrichien. Cette absence de base légale et le fait de conditionner la poursuite de l’instruction de sa plainte à la signature de cet accord de confidentialité constitue selon Noyb une demande de corruption, au même titre que si la CNIL irlandaise lui avait demandé une « bouteille de vin » en échange de la poursuite de l’instruction.

La plainte directe déposée par Noyb contre la CNIL irlandaise auprès de la justice autrichienne s’accompagne d’une campagne de divulgation de documents liés à l’instruction de la plainte initiale contre Facebook, qui sont publiés durant tout le mois de décembre, chaque dimanche de l’Avent, accompagnés d’une vidéo explicative. Noyb s’était abstenu jusqu’ici de communiquer sur ces documents, bien qu’en ayant le droit, afin de préserver la qualité (relative…) des échanges avec la DPC (la CNIL irlandaise) et Facebook. Le chantage à l’accord de confidentialité a manifestement été la goutte d’eau qui a fait déborder le vase. Et les premiers documents divulgués sont pour le moins embarrassants pour la CNIL irlandaise.

Les documents divulgués lors du premier dimanche montrent tout d’abord les efforts (peu surprenants) déployés par Facebook pour nier la légitimité du RGPD et de la plainte de Noyb vis-à-vis d’une entreprise américaine, puis pour tenter d’imposer la confidentialité des échanges entre les différentes parties. Demandes qui seront rejetées notamment par la CNIL autrichienne concernant la confidentialité des échanges.

Les documents divulgués lors du deuxième dimanche montrent quant à eux les efforts importants déployés par la DPC pour faire passer auprès des autres CNIL européennes les arguments de Facebook, et même pour influencer le droit européen dans le sens des intérêts de la firme américaine, en tentant de vider complètement le RGPD de sa substance. S’il est rassurant de voir que les autres CNIL ne sont pas laissées influencer et ont rejeté toutes les demandes de leur homologue irlandaise tendant à appauvrir les protections apportées par le RGPD, il est extrêmement inquiétant de voir une institution publique se faire ainsi le porte-parole d’une entreprise extra-européenne, au mépris des intérêts des citoyens européens.

L’issue de la plainte en corruption déposée par Noyb contre la CNIL irlandaise pourrait avoir de grandes répercussions sur le traitement de sa plainte initiale contre Facebook, et in fine sur le modèle d’affaires du géant américain sur le sol européen.

[NdM] : la CNIL, Commission Nationale de l’Informatique et des Libertés, est l’organisme français qui, depuis 1978, a pour mission de réguler les données personnelles. Elle est affiliée, comme les organismes comparables au Comité Européen de la Protection des Données (CEPD, en anglais EDPB). Par extension (et facilité), ici, CNIL est le nom donné aux autres autorités de protection des données.

Aller plus loin

  • # partage

    Posté par  (site web personnel, Mastodon) . Évalué à 6. Dernière modification le 07 décembre 2021 à 19:01.

    Merci beaucoup pour le partage, j'ajoute de ce pas leur flux RSS pour suivre les publications.

  • # Je dirais même plus

    Posté par  . Évalué à 5.

    L’issue de la plainte en corruption déposée par Noyb contre la CNIL irlandaise pourrait avoir de grandes répercussions sur le traitement de sa plainte initiale contre Facebook, et in fine sur le modèle d’affaires du géant américain sur le sol européen.

    Et un impact également sur les autres affaires autour du RGPD qui sont retombées sous la juridiction du DPC, telles que celles de la Quadrature sur certains GAFAM.

    • [^] # Re: Je dirais même plus

      Posté par  (site web personnel) . Évalué à 2.

      le mot plus ?!

      Parce que DPC en français ou en:DPC en anglais, ça ne me parle pas trop :/

      • [^] # Re: Je dirais même plus

        Posté par  . Évalué à 2.

        DPC = Data Protection Commission, l'équivalent de la CNIL pour l'Irlande, vers qui la plupart des litiges liés au RGPD pour les GAFAM sont redirigés, de nombreux sièges européens se trouvant en Irlande.

        • [^] # Re: Je dirais même plus

          Posté par  (site web personnel) . Évalué à 3.

          DPC = Data Protection Commission

          oui, je connais :-) (mais pas tout le monde) et je m'aperçois que j'ai foiré mes liens vers DPC et DPC /o\
          Pour autant, merci d'éviter les acronymes et les sigles sans indication préliminaire :-)
          Outre que citer une autorité, sans indiquer ce qu'elle prend en charge et ses dernières actions sur le sujet, c'est dommage :/

  • # Corruption != pot de vin

    Posté par  (site web personnel) . Évalué à 5.

    D'ici on aperçoit poignant à l'horizon judiciaire le profil d'une réponse classique de politique corrompu n'ayant aucun égard pour les dictionnaires : « Mais non il n'y a pas corruption ; la corruption c'est quand il y a pot de vin mesdames et messieurs ; le plaignant l'affirme lui-même, il ne s'agit donc pas de corruption, et cette plainte peut être rejetée sans examen. »

    Juste pour qu'on s'en souvienne avant de passer définitivement le terme dans une novlangue, voici quelques extraits du TLFI à l'entrée idoine :

    « Action de changer l'état naturel d'une chose en la rendant mauvaise[…]
    Altération (procès ou état), changement en mal […]
    Modification fâcheuse par altération des qualités propres; déformation.
    Dégradation de ce qui est sain, honnête et constitue une valeur morale[…]
    Faute de celui qui se laisse détourner de son devoir par des dons, des promesses ou la persuasion. »

    « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

    • [^] # Re: Corruption != pot de vin

      Posté par  (site web personnel, Mastodon) . Évalué à 10.

      Les définitions des dictionnaires sont une chose, les définitions juridiques une autre. La loi définit ce qu'est la corruption sur le plan juridique. Et il est important, d'un point de vue juridique, de s'appuyer sur des faits.

      Après, oui, quelqu'un peut ne pas être "techniquement" corrompu, mais l'être réellement.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: Corruption != pot de vin

        Posté par  . Évalué à 2.

        D’autant plus que si on s’en réfère au dictionnaire pour définir ce qui est « mauvais » on tombe sur un os : https://www.cnrtl.fr/definition/mauvais

        Une des définition qui conviendrait le mieux c’est « Qui ne remplit pas correctement son rôle (moral, social, etc.); ». Mais le dico ne définira pas le rôle de l’organisme.

  • # (Long) article de Tech Crunch sur le sujet

    Posté par  . Évalué à 4.

  • # Enfin !

    Posté par  . Évalué à 1. Dernière modification le 02 janvier 2022 à 12:58.

    Ca fait 9 ans que cette affaire traîne.
    La moindre entreprise qui fait un écart se fait aligner mais FB, elle, peut tranquillement continuer ses petites affaires pendant 8 ans.

    La technique de confidentialisation est connue : c'est ainsi que la commission a tenté, plusieurs fois, de masquer le contenu des échanges concernant l'ACTA puis le TAFTA.
    Le prétexte ? Que ce n'était que des négociations précontractuelles.
    Sans parler des contrats avec Big Pharma. Et dans ce cas, il s'agit de protéger le secret des affaires.
    Ben voyons.

    db

  • # Publications suivantes

    Posté par  . Évalué à 7.

    Depuis la publication de cette dépêche LinuxFR, noyb a sorti deux autres articles :
    - 3ème lecture de l'Avent : https://noyb.eu/en/third-noyb-advent-reading-facebookdpc-documents
    - 4ème lecture de l'Avent : https://noyb.eu/en/4th-advent-reading-facebook-fully-ignores-schrems-rulings-court-justice

    La conclusion est toujours la même : Facebook fait ce qu'il veut, le régulateur irlandais laisse faire en totale passivité, et en violation totale de l'esprit de GDPR. Les intérêts économiques sont clairement positionnés loin au dessus de la protection des droits des individus.

    Je ne vois pas ce qui pourrait laisser espérer un changement brutal de comportement, à part une grosse pression des autres états… A mon avis, le mieux qui puisse arriver, c'est qu'au bout d'encore 5 à 10 ans, l'UE se dise "tiens, encore une bonne occasion d'infliger une amende de 2 milliards d'€ et de remplir les caisses". Sans que ça ne garantisse une cessation des agissements illégaux.

    J'aime beaucoup le ton et l'esprit de la réponse faite aux demandes du régulateur, disponible ici (https://noyb.eu/sites/default/files/2021-11/DPC_Lawyer_Letter_blackened.pdf) quand le régulateur demandait à être prévenu du contenu des prochaines publications.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.