Archives par mot-clé : Brexit

Violation de données personnelles sur Facebook : « Zuck »paiera-t-il des dommages et intérêts ?

Publié le par

Depuis le 23 mai, le PDG cofondateur de Facebook – Mark Zuckerberg – est accusé d’avoir pris directement la décision qui a porté atteinte à la protection des données, provoquant le scandale « Cambridge Analytica » de 2016. Le procureur de Washington D.C. lui demande des dommages et intérêts.

Six ans après le scandale « Cambridge Analytica » qui a cloué au pilori la société britannique du même nom pour fuite massive en 2016 de données personnelles dans la campagne présidentielle de Donald Trump, voici que Mark Zuckerberg fait lui-même l’objet d’une plainte. Après le refus d’un juge en mars dernier que le PDG de Facebook soit cité comme témoin (1) dans la procédure engagée en 2018 contre le numéro un des réseaux sociaux (2), le procureur général du District de Columbia (Washington), Karl Racine (photo), remonte au créneau en poursuivant cette fois « Zuck » en l’accusant d’être directement responsable. Il demande à la justice de le condamner à verser des dommages et intérêts.

Dommages et intérêts demandés à « Zuck »
L’affaire retentissante « Cambridge Analytica », qui avait notamment porté sur l’utilisation illégale de 70 millions de comptes de Facebook aux Etats-Unis pour influencer en 2016 l’élection présidentielle américaine, a déjà valu à la firme de Menlo Park (Californie) 5 milliards de dollars d’amende infligés en juillet 2019 par la FTC (3). Cambridge Analytica a aussi manipulé des données personnelles lors de la campagne pour ou contre le Brexit au Royaume-Uni.
Cette nouvelle plainte à Washington D.C. s’attaque pour la première fois à Mark Zuckerberg en personne, en tant que PDG du groupe Meta Platforms (maison mère de Facebook depuis octobre 2021). Cette assignation en justice, déposée le 23 mai dernier par le procureur Karl Racine, démontre – preuves à l’appui – que le patron de Facebook était décisionnaire dans la tromperie des utilisateurs et la violation de loi américaine sur la protection des consommateurs. « Le District de Columbia est en possession d’éléments de preuve qui démontrent à la fois le bien-fondé de (…) la responsabilité personnelle de M. Zuckerberg et de ses violations de la CPPA [à savoir le California Consumer Privacy Act (CCPA) de 2018]», assure l’auteur de la plainte, qui demande au tribunal « réparation » en condamnant le PDG à « verser un dédommagement ou des dommages et intérêts » (4). Karl Racine, qui demande en outre de lui « infliger des sanctions civiles », explique que le groupe Facebook – « sous la direction » de Mark Zuckerberg – a modifié son business model parce qu’il a reconnu que son réseau social au « F » blanc sur fond bleu pourrait être encore plus rentable s’il pouvait exploiter et vendre – « auprès de tiers » – la capacité d’influencer de manière fiable le comportement de ses utilisateurs. Facebook a encouragé – « et, parfois, en collaboration avec (eux) » – des développeurs et des chercheurs afin de recueillir et d’analyser les données des utilisateurs de Facebook pour qu’ils puissent mieux apprendre à manipuler les humeurs de ces 2,9 milliards « d’amis » (à ce jour) et influencer leurs achats et même la manière dont ils votent. « Plus le Facebook de Zuckerberg attise la division et la polarisation, déstabilise les démocraties, amplifie les génocides et a une incidence sur la santé mentale des utilisateurs, plus Facebook et ses dirigeants gagnent de l’argent. Compte tenu des milliards de dollars en jeu, et n’ayant aucun égard envers les personnes qu’il prétend servir, Facebook – sous la direction de Zuckerberg – a décidé de cacher ces problèmes le plus longtemps possible, y compris en induisant intentionnellement en erreur les utilisateurs de Facebook ainsi que le public, la presse et les dirigeants politiques », dénonce le procureur général. A l’origine du mal : la décision prise en 2010 par Facebook – « encore une fois une idée de Zuckerberg » – d’ouvrir la plateforme Facebook à des tiers. C’est à partir de là que tout commence, Facebook ayant persuadé des développeurs externes de créer des applications accrocheuses pour le réseau social, « en dirigeant encore plus d’utilisateurs et de données d’utilisateurs vers la plateforme ». Ce détournement de user data s’est fait par des « portes latérales » (side doors) au sein des applications elles-mêmes. Et Karl Racine d’enfoncer le clou : « Etant donné que la plateforme de Facebook a été conçue pour permettre les abus, la société de Zuckerberg a fonctionné en grande partie sans mesures de protection appropriées pour protéger les utilisateurs : l’application des règles était laxiste, l’examen des violations des applications était incohérent ou subjectif, et les règles elles-mêmes étaient floues et déroutantes. Mais en 2018, le monde a appris cette imposture ».

Wylie et Kaiser : lanceurs d’alerte en 2018
La politique laxiste de « Zuck » dans la soi-disant protection des données personnelles éclate au grand jour en mars 2018 (voir encadré page suivante). « Ce qui est le plus troublant, c’est que Facebook s’est penché sur (l’activité de) Cambridge Analytica et a déterminé qu’elle présentait un risque pour les données des consommateurs, mais a choisi d’enterrer ces préoccupations plutôt que de les arrêter, car cela aurait pu nuire au résultat net de Facebook (et de Zuckerberg) », fustige encore le procureur général. Karl Racine appelle la justice à tenir pour responsable Mark Zuckerberg en personne dans la violation des lois américaines sur la protection des données des utilisateurs de Facebook. Le cofondateur de Facebook, dont il est le PDG (membre du conseil d’administration), est citoyen américain résidant à Palo Alto (en Californie). Tandis que le siège social du groupe Meta (Facebook jusqu’en octobre 2021) est situé à Menlo Park, dans le même Etat. « Depuis 2012, Zuckerberg est président du conseil d’administration de Facebook et contrôle environ 60 % des actions avec droit de vote », est-il rappelé.

La responsabilité du PDG est engagée
Selon Forbes, et au moment où nous écrivons ces lignes, « Zuck » est la 15e personne la plus riche du monde avec un patrimoine professionnel de 70,1 milliards de dollars (5). Depuis la création de « TheFacebook » le 4 février 2004 à l’université d’Harvard et le lancement de Facebook le 1er août 2005, l’encore jeune homme – 38 ans depuis le 14 mai 2022 – est le responsable en chef des opérations quotidiennes de Facebook, de sa stratégie produit et de ses pratiques – « y compris les actes et les pratiques énoncés dans la présente plainte ». Lorsqu’il sera entendu à Washington D.C. dans le cadre de cette nouvelle procédure judiciaire, ce ne sera pas la première fois qu’il répondra aux allégations de ce district, comme il a pu le faire aussi devant les agences fédérales (FTC et FCC) ou le Congrès américain.
Si l’affaire « Cambridge Analytica » porte sur l’année 2016, avant d’être révélée en 2018, elle trouve ses origines dès 2013 : en novembre de cette année-là, Aleksandr Kogan – chercheur scientist affilié à l’Université de Cambridge – et son entreprise Global Science Research (GSR) ont lancé une application-tierce sur la plateforme Facebook, appli ludique de quizz baptisée « This is Your Digital Life » et capable de collecter des données personnelles pour générer un profil de personnalité. L’année suivante, le jeune Américain d’origine moldave (36 ans aujourd’hui) a conclu un accord avec Cambridge Analytica – cabinet d’experts-conseils politiques basé à Londres, auprès de candidats américains ou d’ailleurs – pour lui vendre les données recueillies par son application : 87 millions de consommateurs Facebook, dont près de la moitié résidents du district de Washington. « Plutôt que de faire de telles divulgations significatives [sur ces agissements dont ils avaient connaissance, et en violation de leurs propres règles], Facebook et Zuckerberg ont plutôt profité de Kogan et de Cambridge Analytica – utilisant abusivement des données de consommation volées – en vendant des millions de dollars d’espaces publicitaires à Cambridge Analytica et pour les campagnes des candidats à la présidence lors des élections de 2016 », accuse le procureur général Karl Racine. Mark Zuckerberg est même allé jusqu’à prétendre que la vie privée n’est plus une « norme sociale » parce que « les gens se sont vraiment mis à l’aise non seulement (avec le fait) de partager plus d’informations et d’autres types de renseignements, mais aussi de communiquer plus ouvertement et avec plus de monde » (6). La responsabilité et la culpabilité du patron actionnaire de Facebook – maintenant de Meta – ne fait aucun doute, d’après les détails donnés par le procureur : « Au sein de Facebook, Zuckerberg a supervisé directement le développement de produits et les travaux d’ingénierie qui exposaient les données des consommateurs à des abus : Zuckerberg est responsable de la plateforme Facebook et est en mesure d’annuler toute décision prise par l’entreprise. (…) Et, contrairement à ses déclarations publiques, Zuckerberg avait l’intention de trouver un moyen de tirer parti des changements apportés à la plateforme pour amasser plus de données — et donc plus d’argent — pour Facebook ». Le raisonnement est implacable et accablant pour le geek devenu très tôt multimilliardaire. Pour illustrer la responsabilité de « Zuck », Karl Racine cite longuement un de ses e-mails internes – daté celui-là du 19 novembre 2012 – près de dix ans déjà – où le patron conclut : « Le but de la plateforme est de lier l’univers de toutes les applications sociales ensemble afin que nous puissions permettre beaucoup plus de partage et rester toujours le hub social central. Je pense que cela trouve le juste équilibre entre l’ubiquité, la réciprocité et le bénéfice ».

10 ans de mensonges et de tromperies
Cela fait au moins depuis dix ans que Mark Zuckerberg était au courant des « risques » de sa plateforme « ouverte » sur la vie privée des « amis », où les amis de mes amis sont mes amis – «mais il n’a pas agi », alors qu’« il était conscient des risques posés (mais) il a activement ignoré ces risques ». Car le partage de données est au cœur du business model et la principale source de revenus (y compris publicitaire) de Facebook. « En tant que tel, Zuckerberg a participé, dirigé, géré, ou autrement connu – et avait le pouvoir de contrôler – les actions incohérentes de Facebook concernant la vie privée, y compris les pratiques commerciales trompeuses, les fausses déclarations et les ambiguïtés qui contreviennent à la loi sur la protection des consommateurs », conclut le procureur. La parole est maintenant à la défense. @

Charles de Laubier

ZOOM

L’affaire « Facebook » éclate au grand jour en mars 2018
Le scandale «Cambridge Analytica » a été révélée le samedi 17 mars 2018 par le quotidien américain The New York Times aux Etats-Unis et par l’hebdomadaire dominicale britannique The Observer en Grande-Bretagne – ce dernier ayant le même propriétaire que le quotidien The Guardian, lui aussi contributeur (7). Ces trois journaux se sont appuyés sur les informations d’un Canadien, Christopher Wylie, qui s’est présenté alors comme le lanceur d’alerte de cette affaire (8). Mais il n’est pas le seul ancien collaborateur de Cambridge Analytica à avoir parlé puisque l’Américaine Brittany Kaiser a elle aussi fait des révélations (9) qui ont aussi fait l’effet d’une bombe (10). @

Bataille mondiale du « bitcoin » entre les Etats et les nouveaux émetteurs de monnaies numériques

Publié le par

La Banque centrale européenne (BCE) dira l’été prochain si elle compte créer ou pas l’euro numérique. La Chine, elle, teste déjà grandeur nature l’e-yuan, avant sa généralisation en 2022. De leur côté, les Bahamas sont pionniers du « bitcoin » souverain avec leur « dollar de sable ».

La république populaire de Chine, présidée depuis mars 2013 par le très technophile Xi Jinping (photo), pourrait être l’an prochain la première puissance mondiale à lancer sa monnaie numérique. Cet e-yuan souverain, testé depuis le début de l’année et notamment à Shanghai et Shenzhen, est attendu avec fébrilité par les pays occidentaux qui craignent la fin de l’hégémonie monétaire américaine de l’« US dollar » – monnaie de réserve mondiale. De Washington à Francfort-sur-le-Main en Allemagne, où les banques centrales des Etats-Unis (la Fed) et de l’Union européenne (la BCE) ont respectivement leur siège social, c’est le branle-bas de combat.

E-yuan, nerf de la guerre impérialiste
Avec l’e-yuan, l’Empire du Milieu cherche à reprendre la main sur le rôle régalien de l’Etat à « frapper monnaie », mis à mal par le paiement mobile qui s’est généralisé auprès des Chinois grâce aux géants Ant Group (spin off d’Alibaba) avec Alipay, et Tencent avec Wepay (90 % de parts de marché à eux deux en Chine). L’argent en monnaie sonnante et trébuchante est largement passé au second plan des paiements effectués en Chine. Bien que les autorités bancaires chinoises aient mis en garde le 18 mai contre les cryptomonnaies « spéculatives », Xi Jinping nourrirait le secret espoir de voir à terme le crypto-yuan devenir une monnaie numérique internationale et un moyen de réduire la dépendance de la Chine vis-à-vis de l’empire financier mondial des Etats-Unis, son grand rival économique dont il convoite la première place de puissance économique en termes de produit intérieur brut (PIB). Des tests transfrontaliers sont menés avec la banque centrale de Hong Kong en prévision d’une utilisation à l’étranger, ce qui pourrait rendre les frais transferts de monnaie virtuelle moins élevés (comparé aux devises classiques) et les opérations exécutées plus rapidement.
Appelé aussi e-CNY ou e-RMB, du nom de la monnaie officielle chinois (le renminbi), le yuan digital est préparé depuis sept ans – à l’initiative de Zhou Xiaochuan lorsqu’il était à la tête de la PBC (1), la banque centrale chinoise – par le gouvernement de Pékin, afin de lutter contre la pauvreté, l’exclusion financière et le blanchiment d’argent. L’e-yuan est aussi une réponse officielle au Bitcoin à l’origine probablement japonaise (2) ou au Diem (ex-Libra) de Facebook. La Chine a d’ailleurs interdit dès 2017 l’usage des crypto monnaies sur son sol virtuel. Concrètement, d’après la PBC, les premiers utilisateurs ont dû télécharger sur leurs smartphones l’application gouvernementale e- CNY permettant de gérer le portefeuille électronique relié au compte bancaire de chacun. Les transferts d’argent vers le compte virtuel, plafonnés durant la période d’expérimentation à 10.000 yuans (soit l’équivalent de 1.280 euros), puis les paiements en e-yuan se font instantanément à partir d’un QR code (l’habituel code-barres en deux dimensions) ou en NFC (communication sans fil de proximité). Pour inciter les Chinois à utiliser l’application e-CNY, des commerçants partenaires proposent des réductions sur les biens achetés chez eux. Ces derniers sont encouragés de leur côté par l’Etat à proposer le paiement en crypto-yuan qui ne prélève aucun frais de transaction (contrairement aux 0,5 % environ retenu par Alipay et WePay). Mais, comme le rapporte l’agence américaine Bloomberg, des particuliers et des professionnels disent craindre d’être suivis à la trace par les autorités dans leur vie quotidienne et sans protection pour leur vie privée. La PBC tente de rassurer sur la sécurisation et l’anonymisation des transactions et la traçabilité des flux centralisés dans une base de données gouvernementale. Pékin table à terme sur une utilisation massive de l’e-yuan. Selon les prévisions de Sharnie Wong, une analyste de Bloomberg Intelligence (BI), le renminbi digital – appelé officiellement Digital Currency Electronic Payment (DCEP) – sera utilisé à l’échelle nationale avant les Jeux olympiques de Pékin en 2022 et représentera 9% des paiements numériques en Chine d’ici 2025. Mais ce n’est pas encore le Grand Bond en avant numérique de la politique monétaire chinoise.

« Dollar de sable » des Bahamas, pionnier
Si la Chine est à l’avant-garde du « bitcoin » souverain, elle n’est pas la seule. En février dernier, la banque centrale des Bahamas (CBTB) et la fintech Island Pay ont annoncé en collaboration avec Mastercard le lancement de la carte prépayée « Sand Dollar », du nom de la monnaie numérique créée par cet archipel situé dans l’océan Atlantique (faisant partie du Commonwealth britannique). Cette solution de e-paiement, conçue en 2019 puis déployée en octobre 2020 comme première version numérique de la monnaie fiduciaire d’un pays, offre la possibilité de convertir instantanément la monnaie numérique en dollars traditionnels des Bahamas et de payer des biens et services partout où Mastercard est accepté, sur les 770 petites îles de l’archipel et dans le monde. Le « dollar de sable » numérique est ainsi nommé en référence aux oursins plats que l’on trouve au bord de la mer de certains océans. Réservé au Bahamiens, le « Sand Dollar » numérique sera par la suite utilisable aussi par les touristes (3).

La zone euro suspendue à la BCE
De son côté, la Grande-Bretagne s’interroge sur le lancement éventuel du « britcoin ». En avril, la Banque d’Angleterre (BoE), banque centrale du Royaume-Uni, et « le trésor de Sa Majesté » ont lancé un groupe de travail (taskforce) pour « coordonner l’étude sur le potentiel d’une monnaie numérique » qui serait émise par la BoE et sur « les avantages, les risques et les aspects pratiques de cette démarche », y compris les considérations d’inclusion financière et numérique ainsi que les répercussions sur les données et la vie privée. Il s’agit aussi pour le pays du Brexit de « surveiller les développements internationaux des CBDC (Central Bank Digital Currency) pour s’assurer que le Royaume-Uni reste à la pointe de l’innovation mondiale ».
Cette annonce de la Grande-Bretagne a été fait le 19 avril, soit trois jours avant une visioconférence de l’Eurogroupe auquel elle n’appartient pas – n’étant pas Etat membre de la zone euro. Cet organe informel, qui réunit chaque mois les ministres des Finances des pays concernés et qui est actuellement présidé par l’Irlandais Paschal Donohoe, a notamment abordé la question de « l’euro en tant que monnaie numérique » en général et « un euro numérique de la Banque centrale européenne (BCE) » en particulier. Pour la France, c’est donc Bruno Le Maire, ministre de l’Economie, des Finances et de la Relance, qui y assistait parmi les vingt-trois participants, dont Christine Lagarde, présidente de la BCE justement. Cette réunion en distanciel a permis de faire le point sur les travaux en cours sur l’euro numérique, à la lumière des résultats de la consultation publique lancée par la BCE en octobre 2020. « La consultation a montré que les questions liées à la protection de la vie privée, à la sécurité et à la garantie de la portée paneuropéenne de ce projet, si celuici devait aller de l’avant, figurent parmi les priorités de nos citoyens et de nos entreprises. Nous avons souligné qu’un euro numérique a le potentiel de soutenir un secteur de la finance numérique plus innovant et des systèmes de paiement plus efficaces et résilients », ont souligné les participants qui appellent l’Euro Summit, lequel réunit cette fois les chefs d’Etats et de gouvernement de la zone euros, à entreprendre « les travaux exploratoires sur l’introduction éventuelle d’un euro numérique » envisagés lors de la réunion du sommet de la zone euro le 25 mars dernier « Nous appelons de nos vœux un secteur financier numérique plus fort et plus innovant et des systèmes de paiement plus efficaces et plus résilients », avait conclu les gouvernement de l’Euro Summit, et en tenant compte « des dimensions politiques de ce projet » (4). L’Eurogroupe devait se réunir à nouveau le 21 mai (5), tandis que le prochain Euro Summit se tiendra en juin (6). L’Allemagne a déjà fait savoir – par la voix de son vice-chancelier et ministre fédéral des Finances, Olaf Scholz (socialdémocrate) – qu’elle était favorable à la création de l’euro digital. « Nous ne devons pas être spectateurs », avait-il lancé de Berlin.
La balle est maintenant dans le camp de la BCE, Christine Lagarde devant dire l’été prochain si le projet est faisable ou pas. Les résultats de la consultation de l’institution de Francfort-sur-le-Main – menée d’octobre 2020 à janvier 2021 (« participation record » avec 8.200 réponses reçues et à 94 % provenant de particuliers) – ont montré que la protection de la vie privée est la principale préoccupation du public et des professionnels (43 % des répondants). Viennent ensuite la sécurité (18 %), la possibilité de payer dans toute la zone euro (11 %), et ce sans frais supplémentaires (9 %) ainsi que hors ligne (8 %). La BCE a mis en place un « Digital euro hub » (7) pour préparer les esprits à l’introduction éventuelle du crypto-euro (8).
Au pays des GAFAM, de l’omniprésent dollar et du futur « stable coin » Diem de Facebook (indexé sur le dollar américain), c’est l’expectative voire l’attentisme. Mais aussi la crainte de voir le billet vert pâlir face aux monnaies numériques souveraines qui fleurissent de par le monde.

Les Etats-Unis sont en embuscade
Alors que la fintech Coinbase, plateforme d’échange de crypto monnaies (bitcoin, ether, litecoin, …), a plus que réussi son entrée en Bourse le 14 avril dernier au Nasdaq, en atteignant une valorisation record – sans précédent pour l’introduction d’une entreprise américaine – de 86 milliards de dollars, Washington semble fébrile. Ce qui contraste avec l’enthousiasme du multimilliardaire Elon Musk (Tesla, SpaceX, …), quoique s’étant dit le 12 mai refroidi par l’impact du minage de « bitcoins » sur le réchauffement climatique. Or dans les coulisses de la Fed, son président Jerome Powell ne cache pas que depuis six mois la banque fédérale américaine développe l’e-dollar. Ce dernier avait succédé en février 2018 à Janet Yellen, elle-même devenue en janvier dernier secrétaire au Trésor et favorable à la création du dollar numérique. @

Charles de Laubier

Brexit : entre l’Union européenne et le Royaume-Uni, les données personnelles sont entre deux eaux

Publié le par

Le RGPD sur la protection des données personnelles en Europe reste applicable à leurs transferts vers le Royaume-Uni jusqu’au 1er juillet 2021. Mais, depuis le début de l’année, la « Cnil » britannique ne peut plus être « chef de file ». En tout cas, il faut anticiper avec ce « pays tiers ».

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

A l’heure où le Brexit devient réalité, la question du transfert des données personnelles entre l’Union européenne (UE) et le Royaume-Uni (RU) mérite une attention particulière. Pas d’urgence absolue puisque le règlement européen sur la protection des données RGPD reste applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. A noter toutefois que, depuis le 1er janvier 2021, le mécanisme du « guichet unique » ne sera plus effectif par le biais de l’Information Commissioner’s Office (ICO), la « Cnil » britannique.

RGPD, applicable jusqu’au 1er juillet 2021
Ainsi, à moins qu’une décision d’adéquation ne soit accordée au Royaume-Uni par la Commission européenne d’ici mi- 2021, les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les outils prévus par le RGPD. Autant s’en préoccuper dès à présent ! Concrètement, jusqu’au 1er juillet 2021, le Royaume-Uni est toujours considéré comme un Etat membre de l’UE dans le cadre des transferts de données. Si aucune modification n’est requise dans l’immédiat pour continuer à transférer des données personnelles avec le territoire britannique, l’autorité de contrôle britannique ICO recommande aux entreprises britanniques ayant des activités transfrontalières avec les Vingt-sept d’anticiper tout risque potentiel d’interruption des transferts.
L’accord de commerce et de coopération entre l’UE et le RU, conclu le 24 décembre 2020 et en vigueur depuis le 1er janvier 2021, prévoit, en matière de protection des données à caractère personnel, que le RGPD demeure applicable pour une durée maximum de six mois. Cet accord a fait suite à une période transitoire qui courait depuis un premier accord de retrait trouvé le 31 janvier 2020 à minuit. Car les textes européens étant alors encore applicables, cet accord n’ouvrant en réalité qu’une période de transition s’étalant jusqu’au 31 décembre 2020. Rappelons que c’est à la suite du référendum du 23 juin 2016 que le Royaume-Uni a actionné la procédure de retrait de l’Union européenne prévue par l’article 50 du Traité de l’UE. Cette décision en faveur du Brexit (pour « British Exit ») a donné lieu à de nombreuses discussions afin d’organiser cette sortie effective du Royaume-Uni. L’accord conclu entre le RU et l’UE a conduit à l’exclusion de l’autorité britannique du mécanisme de guichet unique. Ce mécanisme permet aux entreprises opérant des traitements transfrontaliers (entre plusieurs Etats membres) de centraliser leur communication avec une seule autorité qualifiée alors de « chef de file » (1). Cette autorité n’est pas choisie par l’entreprise mais correspond à celle du pays dans lequel se situe l’établissement principal de l’entreprise en question. En France, c’est la Commission nationale de l’informatique et des libertés (Cnil). Au Royaume- Uni, c’est l’Information Commissioner’s Office (ICO).
La fin du guichet unique pour le Royaume-Uni signifie donc que les entreprises qui effectuaient des traitements transfrontaliers et qui avaient l’ICO comme autorité chef de file ne pourront plus bénéficier de ce mécanisme. Seuls les responsables de traitement ou sous-traitants ayant un établissement principal au sein de l’Espace économique européen (EEE) pourront continuer de bénéficier du guichet unique, avec pour autorité chef de file, celle du pays dans lequel est implanté ledit établissement. Concernant les entreprises exclusivement basées au Royaume-Uni, il est important de rappeler que le caractère extraterritorial du champ d’application du RGPD rend ce dernier applicable dès lors que les activités de traitement sont liées à une offre de bien ou de service destinée à des personnes concernées de l’Union européenne ou au suivi du comportement de ces personnes. Dès lors, ces entreprises britanniques seront tenues de désigner un représentant au sein de l’Union européenne conformément à l’article 27 du RGPD. Une fois le délai de transition expiré, il faudra appréhender les transferts au Royaume-Uni comme des transferts vers un pays tiers, c’est-à-dire comme un pays situé en dehors de l’EEE.

Une « décision d’adéquation » avec le RU ?
Cependant, le Royaume-Uni, en sa qualité d’ancien Etat membre de l’UE, dispose déjà d’un important arsenal juridique en matière de protection des données avec des dispositifs tels que le « Data Protection Act » ou encore le « Privacy and Electronic Communication Regulations ». Ces textes de loi reprenant déjà la majorité des dispositions du RGPD, il apparaît possible que la Commission européenne autorise de façon générale l’ensemble des transferts de données vers le Royaume-Uni à travers une « décision d’adéquation ». Tel sera le cas si la Commission européenne considère que le Royaume-Uni offre toujours un niveau de protection au moins équivalent à celui exigé au sein de l’UE. Pour autant, il convient de rester vigilant car les dernières déclarations du Premier ministre Boris Johnson annonce une évolution de la législation interne dans le sens d’un assouplissement de cette dernière. L’hypothèse d’une décision d’adéquation semble ainsi s’éloigner notamment compte tenu de l’appartenance du Royaume-Uni au « Five Eyes », alliance des services secrets britanniques, canadiens, australiens, américains et néo-zélandais.

Sinon, explorer les « garanties appropriées »
On rappellera que cette alliance à cinq (également désignée par FVEY), qui remonte à l’époque de la Guerre froide, permet aux agences de renseignement de ces cinq pays de se demander respectivement d’intercepter des communications de leurs citoyens. Ce partage d’informations et de données alerte de plus en plus les institutions et l’opinion publique, notamment depuis les révélations d’Edward Snowden en 2013. Selon ce lanceur d’alerte, les Etats contourneraient leur propre législation nationale en demandant aux membres de l’alliance de collecter des informations pour leur compte, et ce sur le fondement de cet accord. En 2014, la Commission européenne avait publié un rapport (2) confirmant le fait que les agences de renseignement néo-zélandaises et canadiennes auraient coopéré avec la National Security Agency (NSA) dans le cadre du programme Five Eyes et potentiellement partagé activement des données personnelles de citoyens de l’UE. Si l’option « décision d’adéquation » devait être écartée, il conviendra alors d’explorer d’autres solutions, notamment les « garanties appropriées » prévues par le RGPD. Il s’agit soit des clauses contractuelles types (CCT) à insérer dans le contrat entre l’importateur et l’exportateur de données (3), soit des règles d’entreprise contraignantes (BCR) qui désignent les règles internes de protection des données applicables entre exportateur et importateur de données au sein d’un groupe d’entreprise (4), soit encore d’outils tels que : code de conduite, mécanisme de certification, instrument juridique contraignant entre autorités publiques, etc (5).
Le RGPD prévoit également certaines dérogations exceptionnelles. L’organisation souhaitant transférer des données en dehors de l’EEE pourrait ainsi faire valoir l’une de ces dérogations à condition que le transfert ait un caractère exceptionnel (ni régulier, ni structurel) et qu’aucun autre cadre juridique ne puisse être utilisé. Tel est le cas lorsque la personne concernée consent au transfert de ses données ou lorsque le transfert de données est nécessaire à la conclusion ou à l’exécution d’un contrat ou encore lorsque le transfert est nécessaire par exemple à l’exercice des droits de la défense dans le cadre de procédures judiciaires. On notera cependant que, dans tous les cas, il appartient au responsable de traitement et au destinataire des données de vérifier, préalablement à tout transfert, si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD, et notamment que les personnes concernées disposent de droits opposables et de voies de droit effective (6). Cette règle a été rappelée par la Cour de justice de l’Union européenne (CJUE), dans son arrêt « Schrems II » (7) du 16 juillet 2020. On rappellera que, dans cette affaire, Maximillian Schrems, défenseur autrichien de la protection des données personnelles, avait sollicité l’interdiction ou la suspension du transfert de ses données personnelles par Facebook Ireland à la maison mère Facebook Inc. établie aux Etats-Unis. Ce dernier considérait que la législation américaine ne permettait pas en pratique de protéger adéquatement les données personnelles détenues sur son territoire contre l’accès des autorités publiques et qu’il n’y avait pas de recours efficace pour les personnes concernées européennes. La CJUE étant particulièrement regardante sur l’effectivité des droits des personnes concernées ainsi que sur leur exercice, c’est précisément ce qui a fondé l’invalidation du « Privacy Shield » au sein de cette décision.
De même, si la CJUE a confirmé la validité des clauses contractuelles types comme outil de transfert, il est important de préciser que ces clauses ne lient pas les autorités des pays tiers, en raison de leur caractère contractuel. Ainsi, dans les situations où la législation de ces pays compromettrait en pratique le niveau de protection adéquat que ces outils garantissent, la CJUE incite à prévoir des mesures supplémentaires. De nature technique, contractuelle ou organisationnelle selon les recommandations du Contrôleur européen de la protection des données (CEPD), ces mesures permettraient d’assurer l’effectivité des « garanties appropriées » au sein de ces systèmes juridiques (8). Toutefois, en fonction des caractéristiques du transfert de données envisagé, et de l’évaluation de la législation du pays tiers faite par l’importateur et l’exportateur des données, si aucune mesure supplémentaire efficace ne peut être mise en œuvre pour garantir le niveau de protection équivalent, il conviendra de renoncer au transfert.

Considérer le RU comme « pays tiers »
En conclusion, si le RGPD reste applicable aux transferts de données vers le Royaume-Uni jusqu’au 1er juillet 2021, il n’est certainement pas trop tôt pour anticiper la suite. En l’absence d’une décision d’adéquation avant cette date butoir, les transferts de données devront être considérés comme ayant pour destination un pays tiers. De ce fait, il est d’ores et déjà recommandé d’identifier les traitements en question pour, le jour venu, adopter l’une des solutions évoquées à l’aune de la future législation britannique. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.