par Une amende de 390 millions d’euros pour la confidentialité de Meta annoncée plus tôt ce mois-ci dans l’Union européenne – pour avoir diffusé des publicités comportementales sur Facebook et Instagram dans la région sans base légale valide – était de plusieurs milliards de dollars inférieure à ce qu’elle aurait dû être, et des ordres de grandeur trop petits être un moyen de dissuasion pour les autres qui enfreignent les lois sur la confidentialité du bloc, selon l’organisation à but non lucratif qui a déposé la plainte initiale concernant le “consentement forcé” de Facebook en mai 2018.
Cette semaine, le groupe de défense des droits à la vie privée, noyb, a écrit au comité européen de la protection des données (EDPB) pour soulever un nouvel enfer – arguant que le régulateur irlandais qui a rendu la décision finale sur sa plainte contre les publicités de Meta n’a pas suivi les instructions du conseil d’enquêter sur le avantages financiers qu’il a tirés du traitement illicite des données.
Il fait valoir que la Commission irlandaise de protection des données (DPC) n’a pas mis en œuvre la décision contraignante du CEPD de décembre – qui a chargé le régulateur de trouver illégale la base juridique que Meta avait revendiquée pour diffuser des publicités comportementales. et augmenter considérablement le montant de l’amende que le CPD avait proposé dans son précédent projet de décision.
Dans la décision finale que le DPC a rendue plus tôt ce mois-ci, le DPC a refusé d’agir sur les instructions du Conseil d’administration pour déterminer une estimation de l’avantage financier que Meta a tiré du ciblage des utilisateurs de l’UE avec des publicités comportementales en violation de la législation européenne sur la protection des données.
Et tandis que le régulateur irlandais a augmenté le niveau de l’amende sur Meta à 390 millions d’euros – contre les 28 à 36 millions d’euros qu’il avait initialement proposés pour les manquements à la transparence – l’amende révisée ne reflète pas la gravité de la violation systématique des principes fondamentaux des utilisateurs européens. droits, par noyb – il ne met pas non plus en œuvre l’exigence du Conseil voulant que le DPC détermine les avantages financiers illégaux accumulés par Meta en diffusant des publicités qui enfreignent la législation européenne sur la protection de la vie privée.
noyb note que, conformément aux directives de l’EDPB sur le calcul des amendes (et au texte de la décision finale publiée par le DPC incorporant les décisions contraignantes du Conseil), le régulateur irlandais devait s’assurer que toute amende « contrebalance[e] les gains de l’infraction » et également « imposer une amende supérieure à celle [unlawfully obtained] quantité”.
“En l’absence d’instructions, le [DPC] n’est pas en mesure d’établir une estimation des questions identifiées ci-dessus. En conséquence, je ne suis pas en mesure de prendre ces questions en compte aux fins de cette évaluation », c’est ainsi que Helen Dixon du DPC a sèchement rejeté l’instruction de l’EDPB – quelques lignes de texte qui ont essentiellement permis à Meta de se tirer d’affaire sur ce que le noyb calcule aurait dû être une pénalité fixée au maximum possible en vertu du règlement général sur la protection des données (RGPD) de l’UE : 4 % du chiffre d’affaires annuel. (Ou plus de 4 milliards d’euros dans le cas de Meta.)
La lettre de noyb explique comment il a estimé le revenu total généré par Meta, au cours de la période d’infraction de plus de 4,5 ans, sur les utilisateurs de l’Espace économique européen (EEE) – un chiffre qu’il évalue à environ 72,5 milliards d’euros. Il dit qu’il est arrivé à cette estimation en examinant les rapports financiers de la société cotée en bourse (et en ajustant les chiffres des revenus pour ne refléter que les utilisateurs de l’EEE, et non le continent européen dans son ensemble) – se demandant pourquoi le personnel beaucoup plus nombreux du DPC n’aurait pas pu fait de même.
“Bien que la ‘publicité comportementale’ ne représente pas tous les revenus de la publicité globale de Meta, il est clair que dans tout scénario réaliste, les revenus de la ‘publicité comportementale’ dans l’UE ont dépassé le maximum [possible, under GDPR] amende de 4,36 milliards d’euros », argumente également noyb.
Dans un communiqué, son président honoraire, Max Schrems, ajoute : “En ne vérifiant même pas les informations accessibles au public, le DPC a fait don de 3,97 milliards d’euros à Meta.”
“Il nous a fallu une heure et un tableur pour faire le calcul”, a-t-il poursuivi. «Je suis sûr que les contribuables irlandais ne seraient pas dérangés par cet argent supplémentaire, si un employé de la DPC venait d’ouvrir un moteur de recherche et de faire des recherches.“
la lettre du noyb demande également pourquoi le DPC n’a apparemment pas utilisé ses pouvoirs statutaires en vertu du règlement pour demander au responsable du traitement toute information nécessaire à l’exécution de ses tâches – ce qui aurait pu lui fournir un itinéraire précis pour estimer à quel point Meta s’en est tiré illégalement traitement des données des Européens.
«Étant donné que les SA [supervisory authorities] ne peut infliger une amende qu’en fonction des revenus de l’année dernière, et que le DPC irlandais a mis plus de 4,5 ans à rendre une décision finale, Meta a réalisé des revenus substantiels en enfreignant la loi, même si l’amende maximale de 4 % du chiffre d’affaires annuel est appliqué », poursuit noyb. “Les revenus estimés des publicités dans l’EEE de 72,53 milliards d’euros ne seraient réduits à 68,17 milliards d’euros que si la totalité des 4 % était appliquée. Cela rend clairement même une amende maximale de 4 % pas même “efficace, proportionnée et dissuasive” par rapport aux revenus illégaux réalisés par Meta IE [Ireland].
“Néanmoins, l’EDPB et le DPC sont liés par les articles 83(1), (2)(k) et (5) GDPR en même temps, ce qui signifie que l’amende maximale de 4 % ne peut pas être dépassée mais doit également être pleinement utilisée pour se conformer aux exigences contradictoires du RGPD. »
Ainsi – tl; dr – même la sanction financière maximale possible en vertu du RGPD n’aurait pas été dissuasive pour Meta en termes financiers – étant donné combien Suite l’argent qu’il frappait en foulant aux pieds la vie privée des utilisateurs européens. Pourtant, le kicker est, Meta n’a même pas été condamné à une amende de ce montant maximum (insuffisant) ! Mdr!
La lettre de noyb présente une évaluation soigneusement calculée et – franchement – accablante des failles d’application très médiatisées du RGPD. Des failles qui permettent à Big Tech de jouer le système en achetant sur le forum des régulateurs «amicaux» qui peuvent trouver d’innombrables façons de ruminer les plaintes et de transformer les revendications de protocole et de procédure en une danse à part entière de badinage et de retard, et dont les décisions pratiques peuvent , enfin, être invoqué pour aider à minimiser tout dommage – dans une moquerie cynique de la procédure régulière qui a transformé le cadre phare de protection des données de l’UE en un tigre de papier où les droits des utilisateurs de Big Tech sont concernés.
Le noyb appelle le CEPD à prendre des “mesures immédiates” contre le DPC – pour s’assurer que sa décision contraignante “est pleinement mise en œuvre dans [or, well, by] Irlande”.
“Compte tenu de la preuve évidente que Meta IE [Ireland] a profité de la violation de l’article 6, paragraphe 1, du RGPD au-delà de l’amende maximale de 4 % en vertu de l’article 83, paragraphe 5, du RGPD et de la violation manifeste par le DPC irlandais de la décision contraignante à cet égard, nous exhortons le CEPD et ses membres à prendre des mesures immédiates contre le DPC irlandais pour garantir que la décision du comité européen de la protection des données soit pleinement mise en œuvre en Irlande », demande-t-il.
Cependant, cette plainte (meta – ha !) de noyb – concernant le résultat de sa plainte de 2018 concernant les publicités de Meta – atterrit très probablement au bout du chemin en ce qui concerne les régulateurs. Prochain arrêt : Litige de type action collective ?
L’appel de noyb rejoint une pile de plaintes (et d’actions en justice) ciblant l’incapacité du régulateur irlandais à appliquer rigoureusement le RGPD contre modèles commerciaux abusifs de la Big Tech – y compris des litiges pour inaction (également vis-à-vis de l’industrie des publicités comportementales) et une accusation de corruption criminelle (également de la part de noyb), pour n’en nommer que deux parmi le barrage de frondes et de flèches tirées sur le DPC depuis le Le RGPD est entré en application (sur papier) et les plaignants ont lancé le chronomètre dans leur interminable attente d’application.
Le DPC a été contacté pour commenter la plainte de noyb auprès de l’EDPB – mais il a refusé d’offrir une réponse.
Nous avons également contacté l’EDPB. Une porte-parole du Conseil nous a dit qu’il “prenait note” de la lettre de noyb – mais a refusé de commenter davantage pour le moment.
Il reste à voir quelle action – le cas échéant – l’organe directeur prendra. Ses pouvoirs sont limités dans ce contexte puisque sa compétence pour intervenir dans le processus d’application du RGPD concerne toute objection soulevée contre le projet de décision d’un superviseur principal (comme cela s’est produit dans l’affaire Meta ads).
Une fois qu’une décision finale a été rendue, la Commission ne procède pas à une réévaluation complète d’un cas. Ainsi, les chances qu’il puisse faire beaucoup plus ici semblent minces.
Le droit de l’UE consacre l’indépendance des régulateurs de la protection des données des États membres, de sorte que le conseil doit essentiellement travailler avec tout ce qui est donné dans un projet de décision (et/ou toute objection soulevée par d’autres APD). C’est pourquoi le DPC voit également un intérêt à contester la partie de la décision contraignante du Conseil qui lui a ordonné d’enquêter plus avant sur le traitement des données de Meta – car il soutient qu’il s’agit d’un dépassement de compétence.
Cette structure signifie effectivement qu’un DPA principal peut faire un travail considérable pour façonner les résultats du GDPR qui ont un impact sur les utilisateurs dans tout le bloc – en, pour commencer, en minimisant ce qu’ils enquêtent et ensuite, même s’ils ouvrent une enquête, en limitant étroitement ces enquêtes et en limitant ce qu’ils prennent en compte dans leurs décisions préliminaires.
Dans le cas de Meta, le DPC n’a fourni aucune donnée sur le bénéfice financier estimé qu’il a tiré de ses publicités comportementales illégales. Ce qui, encore une fois, semble terriblement pratique pour le géant de la technologie.
Bien qu’il n’y ait pas grand-chose que les internautes puissent faire face à un écart aussi béant en matière d’application – à part espérer que les bailleurs de fonds interviennent et lancent davantage de recours collectifs pour intenter des poursuites en dommages-intérêts pour ces violations majeures – les législateurs de l’UE eux-mêmes devraient être très inquiets.
Préoccupé par le fait qu’un élément phare du livre de règles numériques de l’UE – un élément qui est désormais également un élément clé au cœur d’une tapisserie croissante de réglementations que le bloc a mis en place ces dernières années autour de la gouvernance des données, pour essayer de favoriser la confiance et d’obtenir plus de données circulant dans l’espoir d’alimenter une révolution dans l’innovation de l’IA locale – se révèle être une telle gelée face à la violation systématique de la loi.
Les règles qui ne peuvent pas protéger ou corriger n’impressionneront personne à long terme. Et cela signifie que le tigre de papier a peut-être encore du mordant : si les échecs de l’application du RGPD continuent de s’accumuler, le goût amer qui laisse les citoyens de l’UE fatigués de voir leurs droits bafoués pourrait risquer d’ébranler la confiance des gens dans l’ensemble du « projet européen » soigneusement construit.
