La mise en conformité est en plus de son fondement juridique, une nécessité pour tout responsable de traitement indépendamment de son statut. Toutefois, est-il important de noter qu’en pratique la mise en conformité semble être une question de volonté au regard des agissements de certains responsables de traitement. C’est d’ailleurs la raison pour laquelle les GAFAM que je qualifie de "Rois de la non conformité" ont choisi de demeurer dans l’illégalité en dépit des sanctions prononcées par la CNIL parce que n’ayant pas cette volonté d’agir dans la légalité. que faut-il donc faire pour protéger les données personnelles des citoyens face aux GAFAM ?

L’encadrement du traitement des données à caractère personnel est au cœur des activités législatives. En effet, après l’entrée en vigueur du RGPD, les Etats n’ayant pas de textes réglementant la mise en œuvre de traitement de données personnelles, ont été tacitement contraints de prévoir des textes à cet effet.

En effet, faut-il signifier que l’existence de textes sur la protection des données personnelles est source de confiance pour les partenaires commerciaux dans la mesure où la protection des données est devenue une question fondamentale avec notamment les récents scandales de Facebook dont Cambridge Analytica.

En outre faut-il préciser qu’elle est (la protection des données) également une question de souveraineté ce qui se constate avec notamment l’article 48 du RGPD qui interdit le transfert des données personnelles hors de l’Union européenne. Toutefois, il est clair aujourd’hui que les États faisant de la protection des données personnelles une priorité rencontrent un problème commun, problème qui pourrait être qualifié d’ennemis communs du fait de l’importance mondiale de leurs adversaires que sont les GAFAM. 

Avec l’entrée en vigueur du RGPD, il est apparu une lueur d’espoir pour les personnes concernées, en ce sens que ce texte renforce les droits des individus sinon consacre d’une façon extraordinaire la maitrise de ces derniers sur leurs données personnelles à telle enseigne qu’on pourrait commettre un abus de langage en parlant « propriété sur leurs données personnelles ».

Comme signifié ci-dessus, le RGPD annonçait une ère d’espérance pour les personnes concernées car il était censé intimider les responsables de traitement récalcitrants de renoncer à leurs pratiques illégales de par les sanctions inédites qu’il prévoit. Toutefois, ce havre de paix tant espéré dans l’univers dématérialisé était sans compter sur les GAFAM (Google, Apple, Facebook, Amazon, Microsoft), les géants du net « Rois de la non-conformité que je qualifie de « donnivores » c’est-à-dire de consommateurs par excellence de données à caractère personnel.

Les GAFAM amènent à réfléchir sur la manière dont les dispositifs juridiques doivent être pensés et rédigés pour garantir le respect des droits des personnes et par voie de conséquence créer un climat apaisé dans le monde numérique. Cet article nous donne de réfléchir sur la solution à adopter contre les GAFAM pour assurer une protection efficace des données personnelles.

Dans la résolution de ce sujet, nous tenterons d’exposer quelques raisons faisant des GAFAM les Rois de la non-conformité et ce au regard de faits avérés (1), après quoi nous tenterons de proposer des solutions alternatives pour lutter contre les abus commis par les géants du net et ainsi protéger les droits et libertés fondamentaux des personnes concernées (2).

1-Les GAFAM : Rois de la non-conformité.

La terminologie GAFAM désigne respectivement les géants du net que sont Google, Apple, Facebook, Microsoft et Amazon, consommateurs de très grands volumes de données personnelles et cela n’est plus un secret pour toutes les personnes ayant une seule fois eu accès à internet.

L’activité économique fondée sur la donnée personnelle n’est pas en soi proscrite dès lors que les dispositions juridiques régissant ledit domaine sont respectées notamment le respect du consentement de la personne concernée lequel (consentement), en plus de son importance capitale en droit commun, joue un rôle très fondamental en droit des données personnelles.

En clair cela signifie que le problème des responsables du traitement particulièrement des GAFAM n’est pas le fait qu’ils se nourrissent de données personnelles des personnes physiques en échange de leurs services pseudo gratuits, mais plutôt le fait qu’ils nient de façon volontaire les obligations auxquelles ils sont assujettis en vertu notamment du RGPD qui impose le recueil du consentement comme l’une des conditions assurant la licéité du traitement des données personnelles.

L’emplacement du consentement à l’article 6 en son point 1-a et les conditions qui lui sont applicables précisées à l’article 7 du RGPD illustrent son importance en droit des données personnelles.

Les GAFAM sont depuis un certain temps épinglés pour des traitements mis en œuvre irrespectueux du droit des données personnelles. En effet, contrairement à l’Europe ou le droit des données personnelles a fait du chemin car existant depuis les années 70 avec comme précurseur l’Allemagne, la Côte-d’Ivoire dispose d’une loi qui date de 2013 d’où le fait que les autorités aient opté pour une sensibilisation et un accompagnement des entreprises dans leur processus de mise en conformité pour leur inculquer la culture de la protection des données personnelles avant de mettre en œuvre l’aspect coercitif.

Le caractère relativement vieux de la protection des données personnelles en Occident justifie donc les sanctions prononcées par l’Autorité de régulation dont la CNIL en Europe. Vu donc le refus volontaire de certains responsables de traitement, il a donc fallu contraindre les responsables de traitements pour qu’ils se mettent en conformité avec notamment le RGPD.

A cet effet, des sanctions colossales furent prononcées par la CNIL à l’endroit des responsables de traitement dont les GAFAM comme figure de proue.

En effet, bien que se sachant dans l’illégalité du fait de leurs traitements non conformes aux textes juridiques régissant la protection des données et ce avant l’entrée en vigueur du RGPD ce 25 mai 2018, les GAFAM ont tout mis en œuvre pour demeurer dans l’illégalité à telle enseigne qu’on pourrait considérer ce refus délibéré de conformité comme un acte prémédité et donc bien préparé.

En effet, est-il nécessaire de noter que le montant des sanctions pécuniaires prévues par le RGPD a été fixé je dirai à dessein vu les manquements orchestrés par les responsables de traitement.

Toutefois, est-il important de noter que la sanction n’ayant pas pour but de punir mais d’éviter certains agissements, les sanctions pécuniaires prévues par le RGPD ont été fixées avec un but dissuasif pour contraindre ces entreprises à cesser leur méthode qui consiste a soit accepter leurs services avec les conséquences qui s’en suivent, soit arrêter d’accéder à leurs services. En tout état de cause, faut-il signifier que la dissuasion n’est pas GAFAM dans la mesure où ces derniers revendiquent un titre, à savoir celui de « Rois de la non-conformité ».

Pour ma part les GAFAM de par leurs agissements ont fait le choix d’être des anticonformistes par excellence, ils veulent donc briller par le non-respect des règles juridiques garantissant une sécurité et une maitrise pour la personne concernée sur ses données personnelles.

D’ailleurs, faut-il noter qu’il semblerait après la divulgation d’une enquête menée par les journalistes du New-York Times que Facebook ait signé un accord il y a 10 ans pour transférer des données personnelles à plus de 60 entreprises dont Apple, Microsoft, Amazon… cette pratique fut découverte par un journaliste du New-York Times qui en connectant son compte Facebook au service de messagerie unifié BlackBerry, examina les requêtes et les réponses qui étaient envoyées entre son appareil et les serveurs de Facebook. Il découvrit qu’en plus de ses informations personnelles de son compte, le téléphone réclamait des informations sur l’ensemble de ses amis dont : leurs identifiants, leurs dates de naissance, leurs lieux de travail…

Outre Facebook, Google suite à ses activités non conformes, fut sanctionnée d’une amende record de 50 millions d’euros pour manquement à ses obligations de transparence et d’information dans le traitement des données des internautes européens et pour recueil insuffisant du consentement des internautes dans le cadre du traitement de leurs données à des fins de personnalisation de la publicité. Cette sanction donne à réfléchir du fait de son caractère élevé.

Toutefois, je reste sceptique voire pessimiste quant à la conformité de ces géants en matière de protection des données personnelles. D’ailleurs, je pense que le montant des sanctions pécuniaires n’est rien face aux ambitions démesurées des GAFAM de continuer de traiter illégalement les données personnelles. J’irais même jusqu’à dire que les GAFAM ont prévu tout comme les entreprises qui investissent pour la mise en conformité de leur structure, un budget de non-conformité dans lequel ils puiseraient chaque fois qu’ils seraient sanctionnés.

En effet, faut-il préciser que tout est question de priorité dans l’évaluation de l’intérêt. Cela signifie simplement que si l’intérêt pécuniaire que tire les GAFAM du traitement illégal ou contraire aux prescriptions du RGPD est supérieur au montent des sanctions et ce peu importe le montant, alors il est d’autant plus logique qu’ils demeurent dans cette volonté de non-conformité dès lors qu’ils peuvent toujours réaliser des bénéfices vu la valeur « patrimonial » sans cesse grandissante des données personnelles (carburant du numérique).

Pour illustrer nos propos selon lesquels la mise en conformité est avant tout une question d’intérêt, nous prenons le cas de Vectaury qui pour lever la mise en demeure prononcée par la CNIL s’est mis en conformité par un recueil de consentement libre, spécifique, éclairé et résultant d’une action positive des personnes conformément au RGPD. Les utilisateurs sont donc informés, avant la collecte de leurs données de la finalité, l’identité des responsables de traitement … on pourrait être tenté de dire que c’est après avoir analysé le poids de la sanction que la CNIL aurait pu prononcer que cette société a estimé que se mettre en conformité lui serait bénéfique.

Alors, vu que la mise en conformité est une question d’intérêt(s) pour les responsables de traitement, quelle(s) solution(s) faut-il envisager pour contraindre les GAFAM à respecter les dispositions juridiques en matière de protection des données personnelles ?

2-Solution(s) pour lutter contre les abus des GAFAM. 

Vu le caractère manifestement visible du refus de mise en conformité des GAFAM, il semble important de prendre des mesures aux fins de trouver des palliatifs à cette situation inconfortable pour les personnes concernées.

Personnellement pessimiste quant au caractère dissuasif ou intimidant du montant des sanctions pécuniaires pour les GAFAM, je pense que l’une des solutions efficaces serait la « consommation locale » des produits (smartphones et outils technologiques susceptibles de contenir des données personnelles) et services.

En effet, faut-il signifier que, les services proposés par ces géants du net, bien que très importants, ils ne sont pas incontournables. Il est donc possible et les moyens pour le faire ne manquent pas, de privilégier les services similaires de plateformes garantissant le respect des droits et les libertés fondamentaux.

Il est temps de faire fi du fait que les plateformes étasuniennes proposent les meilleurs services en matière technologique pour penser sécurité et confidentialité des données personnelles.

Pour ce faire, il serait louable pour tous les États du monde ayant le souci de protéger les données personnelles de leurs citoyens de coopérer tant sur le plan juridique que technologique pour mettre en place des systèmes ou offres de services similaires à la disposition de leurs citoyens à travers des prestataires de services locaux car au-delà de la protection des données personnelles des citoyens, il y va de la souveraineté numérique des États.

Désiré Allechi, Juriste Spécialiste du Droit des TIC

Comentaires:

• 
  Données personnelles et Apple, Antoine Weber, 23 mars 2019

  L’article mentionne Apple parmi les GAFAM, mais il semble que l’accusation soit non constructive étant donnée que le seul argument donné est qu’Apple aurait accepté des données depuis Facebook. En réalité, contrairement à Google et Facebook, Apple ne fait pas commerce des données personnelles de ses clients.
  Il semble important donc de ne pas mettre toutes ces entreprises dans le même panier.
  Tim Cook a par ailleurs félicité l’EU pour le règlement RGPD et a appliqué le règlement a l’international, alors qu’il n’y était pas tenu.