Aucune enquête coordonnée en Europe n’a été menée sur le scandale « Cambridge Analytica »

Plus de deux ans après l’éclatement de l’affaire « Cambridge Analytica » sur l’exploitation massive et illégale des données personnelles de dizaines de millions d’utilisateurs de Facebook à des fins de ciblages politico-publicitaires, aucune enquête n’a été menée en France par la Cnil. Surprenant.

Aux Etats-Unis, Facebook a écopé l’été dernier d’une amende record de 5 milliards de dollars infligée par la FTC (1) pour n’avoir pas géré ni protégé correctement les données personnelles de ses utilisateurs. En Grande-Bretagne, la « Cnil » britannique – ICO (2) – l’a condamné en octobre 2019 au maximum que lui permettait la loi du pays pour violation sur la protection des données, soit 500.000 livres (plus de 565.000 euros). Ces données ont notamment été exploitées en 2016 pour influencer respectivement l’élection présidentielle américaine et le référendum britannique sur le Brexit.

Cambridge Analytica n’en finit pas de révéler ses secrets et Facebook d’en payer les pots cassés

Depuis deux ans, depuis ce lundi noir du 19 mars 2018 pour Facebook, la firme de Mark Zuckerberg – qui avait reconnu ce jour-là la collecte de plus de 50 millions d’utilisateurs du réseau social par la société Cambridge Analytica à des fins électorales aux Etats-Unis – continue d’être sanctionnée.

L’ a f faire « Cambridge Analytica » a été révélée le samedi 17 mars 2018 par le quotidien américain The New York Times aux Etats-Unis et par l’hebdomadaire dominicale britannique The Observer en Grande-Bretagne – ce dernier ayant le même propriétaire que le quotidien The Guardian, lui aussi contributeur. Ces trois journaux se sont appuyés sur les informations d’un Canadien, Christopher Wylie (photo de gauche), qui se présente depuis comme le « lanceur d’alerte » de l’affaire.

Quid au juste du Brexit numérique et audiovisuel ?

En fait. Le 31 janvier, à minuit, le Royaume-Uni a quitté l’Union européenne (UE) et ne fait donc plus partie des Etats membres, lesquels sont désormais vingt-sept. Une période transitoire s’est ouverte jusqu’au 31 décembre 2020, durant laquelle le droit de l’UE continuera de s’appliquer au Royaume-Uni. Et après ?

En clair. La date historique du 31 janvier 2020 est purement symbolique car rien ne change d’ici le 31 décembre prochain. L’Union européenne et le Royaume-Uni ont encore un peu plus de dix mois pour se mettre d’accord sur un nouveau partenariat. La Commission européenne, elle, adoptera le 3 février un projet de « directives de négociation complètes ». Rien ne change donc d’ici la fin de l’année. Mais que se passera-t-il à partir du 1er janvier 2021, si la période transitoire n’est pas prolongée pour une durée maximale d’un à deux ans ?
• Données personnelles : le Royaume-Uni continuera d’appliquer les règles européennes en matière de protection des données, dont le RGPD (1) avec le consentement sur les cookies, au « stock de données à caractère personnel » collectées lorsqu’il était encore un Etat membre. Et ce, jusqu’à ce que la Commission européenne constate formellement que les conditions de protection des données au Royaume-Uni sont « essentiellement équivalentes » à celles de l’UE.
• Frais d’itinérance (roaming) : les opérateurs mobiles des Vingt-sept seront en droit de réinstaurer avec le Royaume-Uni des frais d’itinérance pour les appels téléphoniques et les
communications SMS/MMS/Internet. Ces surcoûts pour les Européens avaient été supprimés en 2017 par la Commission européenne. A moins qu’un accord entre Londres et Bruxelles ne soit trouvé pour maintenir la gratuité du roaming.
• Droit d’auteur et droit voisin : les Etats membres de l’UE ont jusqu’au 7 juin 2021 pour transposer la directive de 2019 sur le droit d’auteur et le droit voisin « dans le marché unique numérique ». Or la Grande-Bretagne a fait savoir le 21 janvier dernier, par la voix de son secrétaire d’Etat Chris Skidmore (2), qu’elle n’a pas l’intention de le faire et donc de l’appliquer (3).
• Services de médias audiovisuel (SMA) : la directive européenne SMA, actualisée en 2018 pour prendre en compte les services à la demande (SMAd) tels que Netflix, Amazon Prime Video ou encore Disney+, ne sera plus appliquée outre-Manche. Disparaîtra aussi le principe du pays d’origine, sauf accord.
• Portabilité transfrontalière des services audiovisuels : le règlement européen de 2017 sur « la portabilité transfrontalière des services de contenu en ligne », applicable depuis le 20 mars 2018, sera lui aussi inopérant pour les Européens en Grande-Bretagne, sauf accord là aussi. @

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Responsabilité et données : le « Je t’aime moi non plus » des éditeurs en ligne vis-à-vis de Facebook

La pluralité de responsables dans le traitement des données personnelles n’implique pas forcément une responsabilité conjointe. C’est le raisonnement que devrait avoir la Cour de justice européenne dans l’affaire « Fashion ID ».
Or, son avocat général n’en prend pas le chemin. Erreur !

Par Etienne Drouard et Joséphine Beaufour, avocats associés, cabinet K&L Gates

L’éditeur d’un service en ligne – site web et/ou application mobile – peut-il être coresponsable de la collecte, par Facebook, des données personnelles des visiteurs de son service en raison de l’intégration d’un bouton « J’aime » de Facebook au sein de son service ? Selon l’avocat général de la Cour de justice de l’Union européenne (CJUE), lequel a présenté le 19 décembre 2018 ses conclusions dans l’affaire « Fashion ID » (1), la réponse devrait être « oui ».