“Si les causes de cet échec ne sont pas matérielles, elle ne peuvent être que politiques. La défaillance du RGPD vis à vis des GAFAM est si totale et flagrante qu’il est difficile d’imaginer qu’elle ne soit pas volontaire ou, tout le moins, sciemment permise. Les motivations d’une telle complicité sont hélas déjà bien identifiées : les GAFAM sont les fidèles partenaires des états pour maintenir l’ordre sur Internet. Plus que jamais, l’État français, dans sa dérive autoritaire, a tout intérêt à les maintenir au-dessus des lois pour leur laisser gérer la censure et la surveillance de masse. À leur échelle, en permettant aux GAFAM d’échapper au droit qui devait protéger nos libertés fondamentales, les 18 membres du collège de la CNIL participent de l’effondrement démocratique en cours”
Nous connaissions le forum shopping pratiqué par les GAFAM depuis des années en matière fiscale ou de de droits d’auteurs consistant à choisir le pays de l’UE le plus avantageux pour prétendre respecter le droit européen. Les données personnelles n’échappent pas à cette fraude à la loi avec la complicité de l’Irlande et des autorités de contrôle. La Quadrature du Net juge accuse les pouvoirs publics d’être complice de la manière dont les GAFAM se jouent encore des règles européennes en matière de protection des données. Après avoir mené une campagne de lobbying inégalée dans l’histoire de l’UE et déposé plus de 40 000 amendements pour lutter contre l’adoption le 25 mais 2018 du RGPD, les GAFAM bénéficient encore pour des raisons obscures de la complicité des pouvoirs publics vis-à-vis du RGPD.
La plainte déposée par la Quadrature du Net contre Google était la seule qui pouvait être traitée directement par la CNIL en France car contrairement aux autres GAFAM, Google n’avait pas de siège social en Europe et pouvait donc être sanctionné depuis n’importe quel pays. Google a alors annoncé qu’à compter du 22 janvier 2019, son siège social serait en Irlande. La veille, la CNIL a rendu une décision sanctionnant le caractère non-explicite du consentement obtenu sur Android alors que la plainte ne visait pas Android mais Youtube, Gmail et Google Search. Ainsi, la CNIL s’est contentée de prononcer une sanction ridicule de 50 millions d’euros que Google qui, fort d’un CA d’environ 20 millions d’euros par heure, a pu aisément payer et continuer à violer les droits des tiers, stratégie qui a toujours été le socle de son modèle économique. Et pourtant, la plainte demandait une condamnation de 4 milliards d’euros et que soient interdîtes l’exploitation des données personnelles par Google sans consentement explicite et éclairé. Dans un courrier du 27 novembre 2019, la CNIL informait les plaignants du transfert de la réclamation contre Google à l’autorité irlandaise DPC (Data Protection Commission) mais qu’elle continuera de suivre étroitement ce dossier. Or, aucune autorité, en France comme en Irlande, ne semble avoir entamé la moindre enquête pour traiter la plainte signée par 10 000 personnes contre Google.
Apple
Le 18 mai 2018, la Quadrature du Net dépose plainte devant la CNIL qui l’envoie à la DPC qui ouvre une enquête que le 20 août 2018. Le 9 mai 2019, soit 9 mois plus tard, la CNIL l’informe que l’autorité irlandaise aurait besoin d’obtenir la preuve qu’au moins une personne physique ayant donné mandat la Quadrature du Net est bien une personne visée par les traitements mis en œuvre par Apple. Le 14 septembre 2020, la CNIL informe que l’enquête de la DPC est toujours en cours. Le 14 avril 2021, soit 7 mois plus tard, la CNIL indique que la plaignante déclarée 2 années plus tôt n’aurait plus de compte sur les services d’Apple, ce qui empêcherait la DPC de poursuivre son enquête. Pour reprendre l’enquête, il faudrait déclarer un nouveau plaignant. La Quadrature du Net dénonce alors la manœuvre dilatoire consistant à exiger l’identifiant d’une plaignante, attendre plusieurs années sans rien faire, le temps que le compte soit supprimé ou modifié, puis exiger un nouvel identifiant. La DPC a ainsi permis à Apple de prendre 2 ans pour vérifier un simple identifiant. Mais la CNIL refuse d’agir et d’appliquer l’article 60 du RGPD lui permettant de contester les décisions de la DPC devant le Comité Européen à la Protection des Données (CEPD) qui est tenu de trancher l’affaire dans un délai d’un mois. Par ailleurs, lorsqu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, la CNIL a le droit d’adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois, et peut directement saisir le CEPD pour lui demander de reprendre l’affaire dès lors que la DPC n’a pas pris de mesure appropriée dans une situation où il est urgent d’intervenir. La Quadrature du Net interprète alors le silence de la CNIL comme un refus de mettre fin à ces stratégies dilatoires.
Facebook et Linkedin
La même procédure a été diligentée contre Facebook et Linkedin avec les même obstacles.
Amazon
La plainte contre Amazon avait été transmise en 2018 à l’homologue de la CNIL au Luxembourg où l’entreprise a son siège européen. Il n’y a jamais eu d’accusé de réception du transfert de cette plainte qui n’a jamais été traitée.
https://www.nextinpact.com/lebrief/47211/rgpd-quadrature-net-accuse