Tribune. Le scandale Cambridge Analytica relance le débat juridique de la nécessité de renforcer la protection des données personnelles, à deux mois de l’application du règlement européen sur la protection des données (RGPD), le 25 mai 2018.
L’utilisation par l’élite politique du big data lors des campagnes électorales n’est pas nouvelle. Mais les données personnelles des utilisateurs Facebook ont été utilisées en flagrante violation du droit au respect de la vie privée et à la protection des données personnelles. Facebook et Cambridge Analytica font ainsi l’objet d’enquêtes de la part des autorités politiques et de contrôle, autant en Europe qu’aux Etats-Unis. La Federal Trade Commission (FTC) a ouvert une enquête le 20 mars.
En Europe, l’Information Commissioner’s Office (ICO, la CNIL du Royaume-Uni) a déjà ouvert en 2017 une enquête dans cette affaire, afin d’examiner le rôle d’entreprises comme Cambridge Analytica dans le référendum sur le Brexit. Au niveau de l’Union européenne, le G29, qui regroupe les autorités nationales de protection des données, a déclaré le 20 mars que ces dernières enquêteraient ensemble et en concertation avec l’ICO. Giovanni Buttarelli, le contrôleur européen de la protection des données, a indiqué qu’une action commune est nécessaire. Bien que le Parlement européen ne dispose pas d’un pouvoir de sanction dans ce type d’affaires, il a invité Mark Zuckerberg à venir s’expliquer devant lui.
Action commune
La Cour de justice de l’Union européenne (CJUE) a déjà donné son point de vue dans les affaires concernant Facebook. Son « arrêt Schrems » du 6 octobre 2015 a invalidé la décision de la Commission européenne de 2000, dite « Safe Harbor », qui permettait le transfert des données personnelles des citoyens européens vers des entreprises américaines comme Facebook. La Cour a notamment invoqué la violation par les autorités américaines du droit au respect de la vie privée et à la protection des données personnelles, consacrés par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union. L’examen par la CJUE d’autres violations de la réglementation européenne par Facebook n’est pas exclu.
La question la plus décisive reste de savoir si l’écosystème de Facebook est compatible avec le RGPD. Celui-ci imposera notamment aux entreprises, y compris hors UE, de recueillir le consentement libre et éclairé de l’utilisateur à la collecte de ses données personnelles. Les entreprises devront aussi préciser à quelles fins seront collectées les données et pour quelle durée – la collecte et le traitement à des fins de profilage étant particulièrement encadrés. De plus, le transfert de ces données à des tiers, comme en l’espèce, devra faire l’objet d´une autorisation de la CNIL.
Il vous reste 11.75% de cet article à lire. La suite est réservée aux abonnés.