Appuyez sur play pour écouter cet article
Les normes de confidentialité phares de l’Europe, exigeant la manière dont les entreprises collectent, stockent et utilisent les données des personnes, ont commencé à bégayer. Mais alors que les règles auront 3 ans mardi, l’application est enfin en cours.
Cela ne vient tout simplement pas des régulateurs de la protection de la vie privée du bloc.
Les puissantes autorités de concurrence de l’Union européenne – tant à Bruxelles que dans les capitales nationales – se frayent un chemin dans le monde de la protection des données. Ils se concentrent sur un petit nombre d’entreprises technologiques, principalement américaines, qui ont acquis un contrôle tellement important sur les nombreux messages des gens sur les réseaux sociaux, les requêtes de recherche en ligne et les achats numériques.
L’accaparement des terres a donné à ces agences antitrust une voix de plus en plus importante sur les règles de confidentialité – bien que celle-ci soit conçue autour de la façon dont les entreprises dominantes peuvent abuser de leur pouvoir de marché sur les données, et non de la défense des droits fondamentaux de protection des données des personnes.
Cela modifie également la dynamique du pouvoir – trois ans après le début du règlement général sur la protection des données de l’UE, ou RGPD – alors que des questions tourbillonnent sur la capacité des agences de protection de la vie privée de la région à appliquer des règles qui sont devenues la norme mondiale de facto. Jusqu’à présent, Google a fait face à la plus grande amende après que le chien de garde français de la protection de la vie privée ait versé une taxe de 50 millions d’euros en 2019. Le service de messagerie WhatsApp de Facebook est également sur le pont pour une pénalité pouvant aller jusqu’à 50 millions d’euros plus tard cette année. Presque toutes les autres amendes ont à peine atteint le million d’euros.
Pourtant, là où les entreprises craignaient autrefois comment ces chiens de garde de la protection des données appliqueraient les règles strictes de confidentialité en Europe (y compris de lourdes sanctions), les entreprises s’inquiètent de plus en plus de la façon dont les régulateurs antitrust se tournent vers les données – et de l’abus potentiel de ces informations numériques – en tant que première ligne leurs efforts pour faire appliquer les normes mondiales de concurrence.
Cela brouille les frontières entre les lois antitrust et la protection des données, les chiens de garde de la concurrence ayant jusqu’ici triomphé en raison de leurs décennies d’expérience en matière d’application de la loi par rapport au savoir-faire relativement limité des agences européennes de protection de la vie privée. Les deux ensembles de régulateurs à travers l’Europe ont ouvertement discuté de la collaboration pour s’attaquer aux problèmes communs.
«La vie privée et la concurrence seront l’un des grands thèmes de l’année», a déclaré Isabelle de Silva, responsable de la concurrence en France, à POLITICO. Son agence évalue actuellement plusieurs cas qui remettent en question l’utilisation par Big Tech des données des gens. “Je pense que ce sera une très grande chose à suivre.”
Plus de pouvoir, plus de responsabilité
Le rôle en pleine expansion des autorités de la concurrence n’était pas la façon dont il était censé se dégrader lorsque les agences de protection des données de l’Union ont reçu le nouveau règlement en 2018.
Les normes, qui ont été cooptées par de nombreux pays dans le monde, incluent la possibilité d’infliger une amende aux entreprises de 20 millions d’euros ou de 4% de leur chiffre d’affaires annuel, selon le montant le plus élevé. D’autres dispositions obligent les entreprises à donner aux gens une plus grande voix dans la façon dont leurs données sont utilisées et la possibilité de se retirer des pratiques agressives de ciblage en ligne.
Après des années d’obscurité, les chiens de garde nationaux de la vie privée des pays de l’UE sont arrivés au premier plan dans un contexte de méfiance croissante quant à la manière dont les données des individus étaient utilisées par les entreprises et les gouvernements. Des fonctionnaires auparavant obscurs étaient désormais au cœur de ces combats politiques brûlants, tandis qu’un examen minutieux se faisait sur la manière dont les régulateurs individuels du bloc des 27 pays – dont beaucoup avaient des opinions radicalement opposées sur la protection des données – travailleraient les uns avec les autres pour faire appliquer les règles.
Trois ans après cette refonte, cela a été hasardeux.
Un groupe paneuropéen de régulateurs visant à aplanir les désaccords entre les fonctionnaires a eu du mal à accélérer les affaires. Les problèmes vont du banal – comme il faut des mois pour partager les documents d’application entre les agences de l’UE – à l’existentiel – comme des chiens de garde qui sont fondamentalement en désaccord sur la façon de faire respecter les règles de confidentialité de l’Europe, selon quatre responsables qui se sont exprimés sous couvert d’anonymat parce qu’ils n’étaient pas autorisés. parler publiquement.
Au centre des difficultés des régulateurs se trouve le manque d’expérience en matière d’application de la loi de la part des agences qui ont désormais le pouvoir d’imposer des amendes de plusieurs millions d’euros et d’exiger des changements fondamentaux dans les pratiques commerciales des pires contrevenants. La plus grande crainte: les affaires seront inévitablement portées en appel devant les tribunaux locaux, de sorte que toute erreur pourrait s’avérer dévastatrice.
Lorsque l’agence du Royaume-Uni a annoncé des amendes hallucinantes à la fois à Marriott International, la chaîne d’hôtels, et à British Airways, respectivement, en 2019, elle a été considérée comme les responsables européens de la protection de la vie privée qui ont enfin montré leurs dents. Mais après plusieurs erreurs juridiques, y compris le fait de ne pas suivre les procédures correctes pour déterminer ces sanctions, l’exécutant britannique a réduit en conséquence chacun de ces prélèvements de plus de 80%.
Le régulateur irlandais a également été extrêmement prudent dans la manière dont il a poursuivi les entreprises malgré l’ouverture de 27 dossiers par le Data Protection Commissioner (DPC) du pays impliquant des entreprises technologiques américaines. Avant l’entrée en vigueur des nouvelles règles européennes, Dublin n’avait pas le pouvoir d’imposer des amendes. Les autorités ont délibérément mené ces enquêtes – selon les critiques au détriment du droit à la vie privée des personnes – par crainte de les perdre en appel.
«S’attaquer aux amendes générales ne fonctionne pas, cela entraîne des contestations judiciaires», a déclaré Daragh O’Brien, directeur général de Castlebridge, un cabinet de conseil irlandais en protection des données qui a déposé de nombreuses plaintes auprès du chien de garde du pays. “C’est une question de tortue contre le lièvre. La tortue a été critiquée. Mais la DPC a pris soin de clarifier les points juridiques pour ne pas perdre en appel.”
Entrez dans l’équipe de compétition
La prudence des agences de protection de la vie privée a été une aubaine pour les régulateurs de la concurrence.
Alors que l’attention des antitrust se concentre de plus en plus sur les Big Tech, ces agences se sont tournées vers de nouveaux leviers politiques – y compris la manière dont les données sont collectées et utilisées via des fusions – pour corriger le comportement potentiellement anticoncurrentiel d’un petit nombre d’entreprises de la Silicon Valley.
Auparavant, ces régulateurs pouvaient facilement intervenir pour examiner les rachats parce que les revenus des entreprises atteignaient un certain seuil qui déclenchait une surveillance réglementaire. Mais l’afflux de données, un produit qui n’a souvent pas de valeur financière spécifique à lui seul, a rendu difficile, voire impossible, pour les fonctionnaires d’utiliser les lois antitrust traditionnelles lors de l’examen de ces affaires fondées sur les données.
Cela a obligé les agences de la concurrence à sortir des sentiers battus, ce qui ne permet pas de savoir où s’arrêtent les règles de confidentialité et où commence la loi antitrust.
Depuis début 2020, la Commission européenne a ouvert des enquêtes ou déposé des accusations contre des sociétés comme Amazon et Facebook pour la manière dont ces entreprises ont utilisé les informations numériques pour faire pencher injustement la balance en leur faveur par rapport à leurs rivaux. Les entreprises nient les actes répréhensibles. En 2019, le bureau fédéral allemand des cartels a également ordonné à Facebook de cesser de combiner les données de ses différents réseaux sociaux et services de messagerie pour des raisons de concurrence – une affaire qui a été renvoyée au plus haut tribunal européen pour examen en mars.
Pourtant, même les agences de la concurrence ne peuvent pas s’entendre sur tout.
Les régulateurs britanniques et australiens ont exprimé leurs inquiétudes quant à la manière dont Google pourrait utiliser injustement les données acquises lors de son acquisition de FitBit, la société de dispositifs portables. Mais la Commission a approuvé l’accord après que Google ait déclaré qu’il n’inclurait pas les données de santé sensibles des personnes dans ses produits de publicité en ligne et n’intègrerait pas ces informations dans le pool plus large de données utilisateur de l’entreprise.
Même certains proches de la Commission se demandent si cette approche est correcte.
“Nous créons un système incontrôlable”, a déclaré Tommaso Valletti, ancien économiste en chef de la concurrence à la Commission et maintenant professeur à l’Imperial College de Londres, qui a critiqué l’approbation par Bruxelles de l’accord Google-FitBit. “Nous ne comprenons pas les conséquences des données. Le RGPD est un excellent concept. Mais sa mise en œuvre fait défaut, il devient sans signification.”
Les responsables antitrust ne font que se réchauffer. La question reste ouverte de savoir si leurs activités seront une aubaine pour le droit des personnes à la vie privée ou permettront aux entreprises de contourner les règles européennes en matière de protection des données.
Déjà, l’agence française cherche à savoir si les nouvelles normes de confidentialité d’Apple, qui restreignent la capacité des groupes extérieurs à collecter les données des utilisateurs d’iPhone, enfreignent les règles de concurrence du pays. Le chien de garde du Royaume-Uni – qui vient de signer un accord de coopération avec son homologue de la protection des données pour partager des données sur des cas potentiels – enquête sur la décision similaire de Google de limiter la manière dont les autres peuvent accéder aux informations numériques des gens. Les deux sociétés nient les actes répréhensibles.
L’Australie, qui envisage une action en justice pour bloquer l’accord de Google sur FitBit, a également exprimé ses préoccupations concernant l’utilisation des données par Big Tech. Rod Sims, le responsable de l’application des lois antitrust du pays, a affirmé que le géant de la recherche avait induit les internautes en erreur lorsqu’il collectait leurs données de localisation via des smartphones, tout en affirmant que la domination de Google sur l’industrie de la publicité en ligne, ou adtech, lui avait donné un accès inégalé aux informations numériques des gens d’une manière qui peut nuire à la concurrence.
“Les données sont essentielles”, a déclaré Sims à POLITICO, ajoutant que son agence n’avait pas décidé de la meilleure façon de procéder à ses enquêtes axées sur les données. “Google a exploité ses données et ses acquisitions pour dominer la technologie publicitaire. Il est clair qu’il a exploité son accès aux données.”
Vous voulez plus d’analyses de POLITICO? POLITICO Pro est notre service de renseignement premium pour les professionnels. Des services financiers au commerce, en passant par la technologie, la cybersécurité et plus encore, Pro fournit des renseignements en temps réel, des informations approfondies et des scoops dont vous avez besoin pour garder une longueur d’avance. E-mail [email protected] pour demander un essai gratuit.
.
