Facebook promet à Bruxelles d’être compatible RGPD
Facebook se projette dans l’ère RGPD avec la mise en place d’un nouveau centre de gestion de la vie privée pour les utilisateurs du réseau social.
« Nous serons prêts le jour J. »
Facebook martèle le message la directrice des opérations Sheryl Sandberg n’y a pas dérogé mardi dans le cadre d’un événement à Bruxelles – à l’approche du 25 mai 2018.
Cette date marquera l’entrée en vigueur du nouveau règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Connu sous l’acronyme RGPD, le texte abrogera la directive 95/46/CE, que la CNIL recense pour l’heure encore parmi les « textes fondateurs » en matière de protection des droits fondamentaux.
Distinguant les « responsables » (qui déterminent les finalités et les moyens des traitements) et les « sous-traitants » (qui réalisent lesdits traitements), il pose une série d’obligations vis-à-vis des personnes concernées.
Ces obligations s’expriment en termes de transparence, de droits d’accès, de rectification et d’effacement (« droit à l’oubli ») ou encore de portabilité des données.
Le RGPD établit également un principe de protection des données dès la conception et par défaut, la tenue d’un registre des activités de traitement, les notifications aux autorités de contrôle en cas de violations de données à caractère personnel, etc.
En toile de fond, le Privacy Shield, « décision d’adéquation » par laquelle les 28 États membres de l’UE – auxquels s’ajoutent la Norvège, le Liechtenstein et l’Islande – ont reconnu que les États-Unis apportaient un niveau suffisant de protection des données personnelles.
Facebook peut, en vertu de l’article 45 du RGPD, exploiter le dispositif pour mettre en place des flux transatlantiques avec des données de citoyens européens.
Facebook & Cie.
Les modalités et les finalités des traitements effectués dans ce cadre ont fait l’objet d’enquêtes de la part de plusieurs autorités européennes de protection des données.
En mai dernier, dans la lignée d’une mise en demeure remontant à début 2016, la CNIL avait infligé 150 000 euros d’amende à Facebook pour « six manquements » à la loi Informatique et Libertés.
La Commission avait noté, entre autres, que si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, « ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori ».
Elle avait mené ses investigations avec plusieurs de ses homologues, dont l’AEPD (Agencia española de protección de datos), qui avait elle aussi fini par mettre Facebook à l’amende.
C’était en septembre 2017, pour trois infractions parmi lesquelles la collecte de données à caractère « éminemment personnel », directement ou via des services tiers, sans informer clairement l’utilisateur de la finalité desdites collecte et de l’exploitation ultérieure des données en question.
D’autres services de la galaxie Facebook sont scrutés. Tout particulièrement WhatsApp, depuis son acquisition par le réseau social pour près de 20 milliards de dollars début 2014.
Bruxelles a sévi : 110 millions d’euros d’amende pour avoir fourni des renseignements « inexacts ou dénaturés » à propos de cette opération.
Sous le régime du RGPD, les entreprises encourent des sanctions allant jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial annuel, la plus haute valeur étant retenue.
Crédit photo : U.S. Department of Energy via Visual Hunt