L’association La Quadrature du Net a lancé douze actions de groupe auprès de la Cnil à l’encontre des GAFAM.
La Quadrature du Net est une association de défense des droits et libertés des citoyens sur internet. Son objectif est de défendre le respect des principes fondamentaux à l’ère du numérique.
La Quadrature du Net contre les GAFAM
A cette fin, La Quadrature du Net a initié, dès avril 2018, plusieurs actions de groupe contre les géants du Net, les GAFAM, à savoir :
- Google ;
- Apple ;
- Facebook ;
- Amazon ;
- Microsoft.
Plus précisément contre :
- Gmail ;
- Youtube ;
- Search ;
- Instagram ;
- WhatsApp ;
- Skype ;
- LinkedIn ;
- Outlook ;
- les systèmes d’exploitation IOS d’Apple et d’Android.
La possibilité d’introduire ces actions de groupe
La loi sur la protection des données personnelles (1) qui adapte la loi Informatique et libertés (2) au règlement général sur la protection des données (RGPD) (3) intègre dans le droit français, la possibilité d’exercer une action de groupe afin d’introduire une réclamation auprès de la Cnil si le traitement de données à caractère personnel des membres de cette action constitue une violation du RGPD (article 77).
Ainsi, le 28 mai 2018, suite à l’entrée en application du RGPD, La Quadrature du Net a engagé une action contre ces GAFAM.
L’adhésion à l’une de ces actions de groupe
Ce sont, en tout, douze actions de groupe auquel La Quadrature du Net propose d’adhérer. Pour rejoindre l’une ou plusieurs de ces actions, La Quadrature du Net a créée une page dédiée : https://gafam.laquadrature.net/
On retrouve sur cette page des vidéos expliquant les motifs de ces actions contre chacun des GAFAM, ainsi qu’un résumé de ces actions et le formulaire pour y adhérer.
Pour adhérer à l’une des actions, il convient d’être utilisateur du service concerné. La Quadrature du Net précise qu’une personne est utilisatrice dès lors qu’elle a eu recours, au moins une fois, au service concerné, ne serait-ce que par une simple visite du site.
La Quadrature du Net précise que l’adhésion n’emporte aucun frais et ne permet aucun gain. Les plaignants ne prennent aucun risque légal ou économique.
L’adhérant donne mandat à La Quadrature du Net d’effectuer cette action en son nom, ainsi que les suites de cette action.
Les fondements de ces actions de groupe
L’entrée en application du RGPD est l’occasion pour les géants du Net de s’assurer de la conformité de leurs services à la loi Informatique et libertés et, à depuis le 25 mai 2018, au règlement européen.
A ce titre, l’article 6 du RGPD dispose qu’un traitement n’est licite que si :
– le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
– le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
– le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
– le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
– le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ;
– la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
Les GAFAM, en leur qualité de responsable du traitement, se fonde sur le consentement de la personne concernée pour exploiter leurs données à caractère personnel.
C’est ce point que La Quadrature du Net attaque à l’occasion de ces actions, l’absence de liberté dans le consentement donné par la personne concernée.
L’absence de consentement libre
La Quadrature du Net explique que la surveillance de masse dont les géants du Net sont les acteurs, n’est rendu possible que grâce au consentement donné par l’utilisateur de ces services.
Or, selon cette association, ce consentement n’est pas donné librement. En effet, ces services demandent le consentement de la personne concernée afin de collecter et traiter ses données mais dans le même temps, l’empêche d’accéder aux services dans le cas où la personne refuse de donner son consentement.
L’utilisateur est donc contraint de donner son consentement afin d’utiliser leurs services.
Cette exigence est contraire aux dispositions de l’article 4, §11 du RGPD, disposant que pour être valide, le consentement doit être une «manifestation de volonté, libre, spécifique, éclairée et univoque».
De plus, l’article 7, §4 du RGPD précise qu’ «au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat».
En l’espèce, La Quadrature du Net s’appuie sur cette subordination de l’utilisation du service au consentement de la personne concernée pour fonder son action. En conséquence, le consentement ne serait pas donné librement, rendant ainsi le traitement des données à caractère personnel illicite.
L’absence de consentement
La Quadrature du Net explique également que dans certains cas, la personne concernée n’aurait pas consenti au traitement de ses données. Il s’agit des services de Google, par Gmail, dont les données contenues dans les courriels sont collectées et traitées par Google LLC, comprenant ainsi les données de l’interlocuteur de la personne concernée, non utilisateur du service Gmail.
Virginie Bensoussan Brulé
Debora Cohen
Lexing Contentieux numérique
(1) Loi sur la protection des données personnelles, Dossier législatif.
(2) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.
(3) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 80.