Noyb (None Of Your Business = « pas tes affaires » en anglais) est une association autrichienne créée en 2017 par Max Schrems, activiste connu pour avoir fait annuler les accords Safe Harbor en 2015 et Privacy Shield en 2020, accords autorisant sous certaines conditions les transferts de données personnelles entre l’Union Européenne et les États-Unis d’Amérique.
L’association a initialement porté plainte contre Facebook dès l’entrée en vigueur du RGPD en 2018, auprès de la DSB, la CNIL autrichienne. Celle-ci avait alors transmis la plainte à l’autorité de protection des données « référente » pour Facebook en Europe, soit la CNIL irlandaise, comme le prévoit le RGPD.
C’est après trois ans de procédure ne menant à rien que Noyb annonce le 23 novembre 2021 que la CNIL irlandaise lui demande de signer un accord de confidentialité, faute de quoi l’association serait déboutée de sa plainte contre Facebook. Noyb souligne l’absence de toute base légale pour cette demande de confidentialité, que ce soit sur la base du droit irlandais ou du droit autrichien. Cette absence de base légale et le fait de conditionner la poursuite de l’instruction de sa plainte à la signature de cet accord de confidentialité constitue selon Noyb une demande de corruption, au même titre que si la CNIL irlandaise lui avait demandé une « bouteille de vin » en échange de la poursuite de l’instruction.
La plainte directe déposée par Noyb contre la CNIL irlandaise auprès de la justice autrichienne s’accompagne d’une campagne de divulgation de documents liés à l’instruction de la plainte initiale contre Facebook, qui sont publiés durant tout le mois de décembre, chaque dimanche de l’Avent, accompagnés d’une vidéo explicative. Noyb s’était abstenu jusqu’ici de communiquer sur ces documents, bien qu’en ayant le droit, afin de préserver la qualité (relative…) des échanges avec la DPC (la CNIL irlandaise) et Facebook. Le chantage à l’accord de confidentialité a manifestement été la goutte d’eau qui a fait déborder le vase. Et les premiers documents divulgués sont pour le moins embarrassants pour la CNIL irlandaise.
Les documents divulgués lors du premier dimanche montrent tout d’abord les efforts (peu surprenants) déployés par Facebook pour nier la légitimité du RGPD et de la plainte de Noyb vis-à-vis d’une entreprise américaine, puis pour tenter d’imposer la confidentialité des échanges entre les différentes parties. Demandes qui seront rejetées notamment par la CNIL autrichienne concernant la confidentialité des échanges.
Les documents divulgués lors du deuxième dimanche montrent quant à eux les efforts importants déployés par la DPC pour faire passer auprès des autres CNIL européennes les arguments de Facebook, et même pour influencer le droit européen dans le sens des intérêts de la firme américaine, en tentant de vider complètement le RGPD de sa substance. S’il est rassurant de voir que les autres CNIL ne sont pas laissées influencer et ont rejeté toutes les demandes de leur homologue irlandaise tendant à appauvrir les protections apportées par le RGPD, il est extrêmement inquiétant de voir une institution publique se faire ainsi le porte-parole d’une entreprise extra-européenne, au mépris des intérêts des citoyens européens.
L’issue de la plainte en corruption déposée par Noyb contre la CNIL irlandaise pourrait avoir de grandes répercussions sur le traitement de sa plainte initiale contre Facebook, et in fine sur le modèle d’affaires du géant américain sur le sol européen.
[NdM] : la CNIL, Commission Nationale de l’Informatique et des Libertés, est l’organisme français qui, depuis 1978, a pour mission de réguler les données personnelles. Elle est affiliée, comme les organismes comparables au Comité Européen de la Protection des Données (CEPD, en anglais EDPB). Par extension (et facilité), ici, CNIL est le nom donné aux autres autorités de protection des données.
