les G.A.F.A.M.

Découvrez les enjeux du RGPD pour lutter contre les GAFAM !

Le terme « G.A.F.A.M. » est un acronyme désignant les 5 géants américains du Web, soit :

  • Google: entreprise américaine, fondée en 1998 par Larry Page et Sergueï Brin, proposant des services technologiques ;
  • Apple: multinationale fondée en 1976 par Steve Jobs et spécialisée en produits électroniques et logiciels informatiques ;
  • Facebook: réseau social né en 2004 grâce à Mark Zuckerberg ;
  • Amazon: entreprise de commerce électronique créée en 1994 par Jeff Bezos ;
  • Microsoft: multinationale informatique et micro-informatique créée par Bill Gates en 1975.

Ce sont les 5 firmes américaines les plus importantes et influentes sur le marché du numérique.

Illustration AFCDP - Droits des personnes - 25 avril 2018 - couleur.jpg

Illustration de Mr Luc Tesson.

            La domination des G.A.F.A.M.

Les G.A.F.A.M. sont particulièrement puissantes car elles dominent le marché et s’imposent face à la concurrence des autres entreprises. Elles sont notamment présentes sur le marché occidental (Etats-Unis et Europe). Leur influence est très importante dans les pays démocratiques comme la France mais est beaucoup plus fragile dans les pays autoritaires exerçant un contrôle sur les réseaux sociaux utilisés par la population.

Intervenant dans le domaine du numérique, ces firmes américaines collectent des quantités très importantes de données personnelles des personnes utilisant leurs services. Le niveau de protection des données est donc une question faisant débat au sein des G.A.F.A.M.

L’affaire « Cambridge Analytica » initiée en mars 2018 et visant l’entreprise Facebook est un exemple quant à la quantité de données traitées quotidiennement par les G.A.F.A.M., dans notre société où le monde numérique domine.

Mark Zuckerberg, fondateur de Facebook, fait donc actuellement l’objet d’une procédure devant la Commission européenne.

Au regard du RGPD, cette transmission des données est une violation des données personnelles des personnes physiques.

Pour plus d’informations sur l’affaire Cambridge Analytica : https://www.cnil.fr/fr/cambridge-analytica-les-autorites-de-protection-europeennes-se-saisissent-du-sujet.

            Les mécanismes de protection du RGPD contre les G.A.F.A.M.

Le RGPD intervient pour renforcer les droits des personnes et la protection de leurs données. Face aux géants américains et à la quantité de données personnelles qu’ils stockent actuellement, il est souvent difficile de garantir l’efficacité de cette protection.

Le RGPD renforce les obligations des responsables du traitement, soit des dirigeants des G.A.F.A.M., et prévoit des mécanismes permettant de rechercher leur responsabilité en cas de manquement à leurs obligations.

C’est donc dans ce but que l’article 80 du RGPD prévoit l’action de groupe : « La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit. »

Cette procédure de poursuite collective a été utilisée pour la première fois le 28 mai 2018 par l’association « La Quadrature du Net » à l’encontre des G.A.F.A.M. Cinq plaintes ont ainsi été déposées contre elles, réunissant, selon l’association, environ 12 000 personnes. Les plaintes ont toutes pour but de dénoncer les traitements de données à caractère personnel mis en œuvre par ces entreprises en ce qu’elles ne les fonderaient sur aucune base légale, rendant ces traitements illicites (article 6 du RGPD).

De plus, avec la définition large du responsable du traitement retenue par le RGPD, un plus grand nombre de personnes est susceptible de répondre en cette qualité. C’est ainsi que la Cour de Justice de l’Union Européenne (CJUE) a considéré que l’administrateur d’une page « fan » sur Facebook était aussi un responsable de traitement en ce qu’il peut participer à la détermination des finalités et moyens du traitement des données de ses visiteurs en utilisant une plateforme mise en place par Facebook (CJUE, 5 juin 2018, aff. C-210/16).

Cette action de paramétrage lui donne accès à des informations anonymes concernant ses visiteurs (données démographiques, données géographiques, etc.), ce qui lui permet d’organiser ses offres auprès d’eux.

Enfin, le responsable du traitement doit tenir un registre des traitements de données qu’il effectue. Le RGPD prévoit que cette obligation ne s’applique pas lorsque l’entreprise ou l’organisation compte moins de 250 employés, sauf lorsque le traitement qu’elle effectue peut comporter un risque pour les droits et les libertés des personnes, s’il n’est pas occasionnel ou s’il porte sur les catégories de données visées aux articles 9 ou 10 du RGPD (article 30 §5 du RGPD).

Les G.A.F.A.M. étant des entreprises portées sur l’international et effectuant des traitements de données au quotidien, elles doivent tenir le registre des traitements de données afin de garantir la transparence requise par le RGPD.

            Le stockage de données personnelles en dehors de l’Union européenne

Avec l’affaire Cambridge Analytica, Mark Zuckerberg, comme tous les responsables de traitement, doit se conformer au RGPD pour l’utilisation des données de ses utilisateurs européens.

En effet, bien que ces G.A.F.A.M. soient situées en dehors de l’Union européenne, elles doivent se conformer au RGPD car elles proposent des biens et/ou services au profit de personnes concernées situées dans l’Union européenne (article 3 §2 du RGPD).

Outre cette situation, et de manière plus générale, un responsable de traitement situé au sein de l’Union européenne doit indiquer tout transfert et hébergement de données effectué en dehors de l’Union (article 30 du RGPD sur le registre des activités de traitement).

De plus, avant que le RGPD n’entre en vigueur, il existait la Directive 95/46 du 24 octobre 1995, laquelle mettait en place les principes du Safe Harbor. Ces derniers, négociés entre les autorités américaines et la Commission européenne, visaient à assurer la protection des données personnelles en cas de transfert de données en provenance de l’Union vers les Etats-Unis.

Le RGPD a cependant abrogé la Directive de 1995 et il existe, depuis le 1er août 2016 le mécanisme du « Privacy Shield » (Bouclier de Protection des Données) afin d’encadrer les relations entre les Etats-Unis et l’Europe. C’est un mécanisme d’auto-certification des entreprises situées aux Etats-Unis, reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel qui sont transférées par une entité européenne vers des entreprises établies aux Etats-Unis et inscrites sur une liste.

Pour plus d’informations sur le Privacy Shield : https://www.cnil.fr/fr/le-privacy-shield.