Depuis quelques mois déjà, le vent semble tourner pour les géants de la tech dont les pratiques sont, presque chaque semaine, sujettes à scandale. Les GAFAM, autrefois à l’abri de la régulation, voient l’opinion publique se retourner. En cette période de contestation, la Quadrature du Net a récemment annoncé vouloir déposer une série de plaintes auprès de la Commission Nationale Informatique et Liberté (CNIL) contre 12 services des GAFAM [1] à compter du 25 mai prochain, date d’entrée en vigueur du Règlement Général sur le Protection des Données (RGPD). Plus que de simples plaintes, l’association dédiée à la défense des droits et libertés à l’ère du numérique appelle les utilisateurs soucieux de l’exploitation commerciale de leurs données personnelles à se joindre à l’action.
- Le remise en cause du modèle économique des GAFAM
Microsoft et son assistant vocal intrusif, Google Home écoutant les utilisateurs à leur insu ou encore Cambridge Analytica [2] siphonnant les données des utilisateurs de Facebook, les révélations en cascade alimentent la contestation. Depuis plusieurs mois, déjà les géants du Net à l’hyperpuissance autrefois incontestée doivent affronter une crise de confiance numérique.
La collecte et l’exploitation des données personnelles des utilisateurs sont le cœur du modèle économique de celles qui sont devenues les plus importantes capitalisations boursières au monde. Aussi, si ces nouveaux services séduisent par leur gratuité, les données des utilisateurs, telles que leurs habitudes de consommation ou leurs intérêts personnels, sont devenues la base du modèle commercial des GAFAM dont l’immense majorité des revenus provient de la publicité. A l’heure où les internautes commencent à s’apercevoir que leur comportement fait l’objet d’une véritable exploitation commerciale, les GAFAM semblent plus que jamais dans la tourmente. Notons alors que suite à l’affaire Cambridge Analytica le cours de Facebook à l’ouverture de Wall Street chutait d’environ 5%.
Suite à l’intervention de Mark Zuckerberg devant le Congrès Américain, même le monde politique américain, soutenant jusqu’ici des positions plus que permissives, s’agace de l’irresponsabilité des réseaux sociaux. Néanmoins, à l’aune de la nouvelle Règlementation européenne les géants du Net semblent anticiper les procédures à venir. Facebook propose depuis peu à ses utilisateurs européens de nouveaux paramètres de confidentialité leur permettant de restreindre la collecte de leurs données personnelles.
- Une action fondée sur le RGPD
Le RGPD met un point d’honneur à renforcer la place accordée au consentement dans le cadre de la collecte de données. En effet, au sens du Règlement, le consentement s’entend de toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. L’article 7 du Règlement dédié aux conditions applicables au consentement dispose en son alinéa 4 que « Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.». Autrement dit, cet article pose une présomption selon laquelle le consentement n’est plus libre dans l’hypothèse où une entreprise impose l’acceptation de ses Conditions Générales d’Utilisation (CGU) et la collecte de données personnelles inutiles au regard du service qu’elle propose. Cette mention est le corollaire indispensable d’un des principes phare du Règlement qu’est le principe de minimisation. En vertu de ce principe seules les données strictement nécessaires aux finalités du traitement peuvent être collectées.
Si l’article 91 de la loi « Justice du XXIème siècle » du 18 novembre 2016 [3] ouvrait déjà la possibilité de mener des actions de groupe en matière de données personnelles pour faire cesser le manquement, le RGPD va au-delà et introduit la possibilité de demander réparation du préjudice subi à l’occasion de l’atteinte. En outre, l’article 80 du Règlement dispose que « la personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un Etat membre, […] pour qu’il introduise une réclamation en son nom et exerce en son nom » les réclamations et recours juridictionnels afin d’obtenir réparation. Le RGPD ouvre donc la porte à une possibilité de recours inédite jusqu’alors pour prétendre à une réparation financière du préjudice subi dans le traitement des données personnelles. Nombreux sont les professionnels du droit qui s’accordent à dire que l’action de groupe en matière d’atteinte aux données personnelles est le véritable changement induit par le RGPD. Néanmoins, les sénateurs ayant reporté au mois de mai 2020 l’entrée en vigueur de ce nouveau dispositif dans le cadre des débats pour la réforme de la Loi Informatique et Libertés, avant cette date seule la cessation du trouble pourra être demandée.
Précisons alors que l’action de groupe est une procédure de poursuite collective qui permet à des consommateurs qui s’estiment victimes d’un même préjudice de la part d’un professionnel, de se regrouper pour agir en justice. Cette action a été introduite en droit français tardivement par la loi du 17 mars 2014 relative à la consommation [4]. Cette action est désormais codifiée aux articles L 623-1 et suivants du code de la consommation[5] et ses modalités d’exercice sont précisément fixées par un décret du 24 septembre 2014 [6]. Parmi ces conditions il est à noter qu’une action de groupe ne peut évidemment être lancée que si au moins deux consommateurs estiment avoir subi le même préjudice. En outre, elle doit être introduite en justice par une association agréée et réclamer la réparation d’un préjudice matériel pour des litiges relevant du droit de la consommation ou du droit de la concurrence.
[1]Google, Apple, Facebook, Amazon et Microsoft
[2] https://www.haas-avocats.com/actualite-juridique/rgpd-facebook-au-coeur-dune-affaire-de-collecte-illegale-des-donnees-de-ses-utilisateurs/
[3] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033418805&categorieLien=id
[4] https://www.legifrance.gouv.fr/eli/loi/2014/3/17/EFIX1307316L/jo/texte
[5] https://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000032224711&cidTexte=LEGITEXT000006069565
[6] https://www.legifrance.gouv.fr/eli/decret/2014/9/24/JUSC1411818D/jo/texte
