Etienne Drouard (Hogan Lovells) "La décision de la Cnil concernant Lusha affaiblit la protection des données personnelles en Europe"
Pour Me Etienne Drouard, en décidant que le RGPD n'est pas applicable à Lusha, société israëlo-américaine de scraping, la Cnil laisse le chemin libre au commerce de données d'Européens à leur insu par des acteurs situés hors de l'UE et n'y fournissant aucun service.
JDN. La Cnil a prononcé un non-lieu après instruction des plaintes contre la société américaine Lusha, éditrice d'une extension de scraping. Pourtant Lusha collectait bien pour ses clients l'e-mail et le numéro de téléphone de professionnels européens sur LinkedIn et Salesforce sans en informer ces derniers. Comment interprétez-vous cette décision ?
Etienne Drouard. Cette décision est inédite à différents titres. C'est la première fois que la formation restreinte de la Cnil se déclare incompétente, puisqu'elle estime, après analyse approfondie de ce cas, que le RGPD n'est pas applicable. C'est aussi une de très rares fois depuis l'adoption du RGPD où une entreprise qui a à faire à la commission restreinte de la Cnil ressort sans condamnation. La Cnil est l'autorité qui condamne le plus en Europe. Or, ce n'est pas ce qu'il s'est passé dans le cas Lusha. Au final, l'entreprise n'est pas sanctionnée puisque le RGPD est considéré comme n'étant pas applicable. La Cnil considère que Lusha n'a pas opéré du profilage, même s'il y a eu traitement de données personnelles.
Cette interprétation est-elle juste ?
Il est vrai que la formulation retenue dans le RGPD renvoie à la notion de profilage. Lorsque le traitement mis en place par des sociétés n'ayant pas d'établissement ni proposant de produits et services dans l'Union européenne vise à traquer le comportement des personnes situées dans l'UE, il est soumis au RGPD. En déclarant que le RGPD n'est pas applicable dans le cas précis de Lusha, la Cnil fait une distinction très rigoureuse et méthodique de ce qui relève ou non d'un profilage, en parfaite contradiction avec au moins cinq décisions qu'elle a prises dans le passé. La Cnil a été extrêmement virulente au sujet de beaucoup de traitements de données et bien moins rigoureuse à établir s'il s'agissait d'un profilage ou non. Cette décision concernant la société Lusha constitue un véritable revirement de jurisprudence.
"La Cnil fait une distinction en parfaite contradiction avec au moins cinq décisions qu'elle a prises dans le passé"
Mais vous reconnaissez que le texte du RGPD intègre cette notion de profilage. La Cnil a-t-elle raison de se tenir à cet aspect dans cette décision ?
La Cnil a raison pour ce qui est de l'écriture du texte, son travail juridique a été rigoureux. Mais pour ce qui est de la politique de régulation, je crains que cela ne nous amène à affaiblir la protection des données personnelles en Europe. La Cnil estime que faire du profilage est différent de traiter des données personnelles. Et cette décision est très troublante. Ce faisant, elle ouvre des portes qui me font peur puisque cela laisse le chemin libre au commerce de données d'Européens à leur insu par des acteurs situés hors de l'UE qui n'y fournissent aucun service. Une entreprise chinoise peut tout à fait se sentir libre de constituer des gabarits biométriques de toutes les photos d'Européens présents dans les réseaux sociaux pour faire de la reconnaissance faciale et entrainer des modèles d'intelligence artificielle. Il suffira pour cette entreprise de ne pas être établie ni fournir des services dans l'UE pour que le RGPD ne s'applique pas. Pourtant il y aura bel et bien collecte clandestine des données personnelles des personnes vivant en Europe. Mais ce ne serait pas concerné par le RGPD puisque, si on se base sur la décision de la Cnil, il s'agirait d'une collecte objective de données personnelles, et non de profilage.
La même chose pourrait-elle être faite par une entreprise européenne : collecter des données d'Européens sans profilage et s'en sortir indemne ?
Non, parce que le simple fait que l'entreprise soit établie en Europe fait que le RGPD est applicable. Par ailleurs, toute la logique du RGPD est de s'étendre au-delà des frontières pour protéger les données des ressortissants européens partout dans le monde où quelqu'un viendrait les collecter même si ce dernier n'est pas établi en Europe. Et c'est là où entrent en jeu les trois critères cumulatifs pour ne pas être concerné par le RGPD : ne pas être établi ni fournir aucun service en Europe et ne pas faire de profilage. Ce qui pose problème dans cette décision, c'est qu'en distinguant la collecte des données personnelles du profilage, la Cnil vient nous démontrer qu'il y a un trou béant, un espace qui échappe au RGPD.
"C'est très injuste pour les entreprises qui sont situées en Europe, cela crée une énorme distorsion de concurrence"
Désormais, il suffit qu'une entreprise s'établisse en dehors de l'UE, ne fournisse des services à personne mais traite des données personnelles d'Européens pour échapper au RGPD. C'est très injuste pour les entreprises qui sont situées en Europe, cela crée une énorme distorsion de concurrence. Sans compter que cette logique est incohérente avec la décision de la Cour de Justice de l'UE qui a à très juste titre invalidé l'accord sur les transferts de données entre l'Europe et les Etats-Unis estimant que ces derniers n'étaient pas assez protégés par le droit américain lorsque les agences de sécurité nationale américaines surveillaient l'Europe depuis les Etats-Unis. Quelle différence avec le dossier Lusha ? On collecte des données à l'insu des Européens depuis le territoire américain sans leur fournir aucun service. De plus, il n'y a pas toujours de profilage dans les enquêtes de sécurité nationale.
Cette décision peut-elle être contestée ?
Cette décision me paraît inattaquable. Elle aurait pu être contestée par les personnes dont les données ont été traitées par la société Lusha ou des associations de protection de données des consommateurs. Mais je pense qu'elles échoueraient à la faire casser. A l'inverse, si la Cnil avait adopté une interprétation extensive de la notion de profilage pour y intégrer les autres types de traitement de données, un recours de la société Lusha contre cette décision aurait eu très peu de chances d'aboutir.