La Commission européenne étudie la possibilité de déposer une plainte auprès d’une autorité de protection des données d’un État membre de l’UE concernant la divulgation de données personnelles de certains de ses agents par de grandes entreprises technologiques, dans le cadre des obligations de reporting prévues par le règlement sur les services numériques (DSA).
Cette affaire fait suite à la publication, en février dernier, par la commission judiciaire de la Chambre des représentants des États-Unis, d’un rapport contenant « des milliers d’échanges de courriels entre des plateformes numériques telles que Meta et TikTok, des responsables de la Commission européenne ainsi que des organisations de la société civile, notamment Democracy Reporting International et Reporters Without Borders », ont dénoncé un groupe d’eurodéputés, en soulevant « des préoccupations concernant des violations des données personnelles et de la vie privée, y compris des infractions au Règlement général sur la protection des données (RGPD), ainsi qu’un risque de sanctions », telles que les interdictions de voyage imposées par le Département d’État américain à l’ancien commissaire Thierry Breton, à des membres de la société civile impliqués dans la lutte contre la désinformation et les discours de haine en ligne, ainsi qu’au député français Éric Bothorel.
« La publication des données personnelles d’agents de l’UE et d’experts de la société civile est profondément préoccupante. Le fait d’avoir publié des données personnelles dans des documents non expurgés pourrait exposer les entreprises concernées à une responsabilité juridique pour violation des données personnelles au titre du Règlement général sur la protection des données (RGPD). Par conséquent, la Commission envisage de déposer une plainte, au nom des agents concernés, auprès de l’autorité compétente de protection des données », a confirmé la vice-présidente exécutive chargée de la souveraineté technologique, Henna Virkkunen, dans une réponse datée de mercredi 20 mai à une question parlementaire déposée par plusieurs eurodéputés des groupes Renew Europe, S&D et Verts/ALE.
Les eurodéputés ont demandé à la Commission de préciser quelles mesures elle comptait prendre pour remédier à ces violations de la vie privée et des données personnelles et pour garantir que « les responsables et les citoyens européens exposés publiquement dans ce rapport soient protégés contre d’éventuelles sanctions américaines ».
Mme Virkkunen a précisé que « les règles relatives à la confidentialité des informations doivent être respectées par toutes les parties, y compris par les fournisseurs de plateformes en ligne au regard des règles européennes de protection des données », et a souligné que « la Commission a un devoir de protection envers son personnel, qu’elle prend très au sérieux ». « Les membres du personnel concernés ont reçu des informations sur la manière d’obtenir un soutien en cas de menaces, d’insultes, de diffamation ou d’autres attaques visant leur personne ou leurs biens. En outre, la Commission fournit déjà un accompagnement et une assistance adaptés aux besoins du personnel chargé de l’application du DSA », a-t-elle indiqué dans sa réponse.
Dans son rapport intérimaire intitulé ´The Foreign Censorship Threat, Part II: Europe’s Decade-Long Campaign to Censor the Global Internet and How it harms American Speech in the United States´, la commission judiciaire de la Chambre des représentants accuse la Commission européenne d’avoir « à plusieurs reprises » fait pression sur les principales plateformes de réseaux sociaux afin qu’elles modifient leurs règles de modération des contenus pour censurer plus agressivement certains contenus et « porter directement atteinte à la liberté d’expression en ligne des Américains aux États-Unis », lors de plus de 100 réunions à huis clos depuis 2020. Le rapport s’appuie sur des documents non publics fournis par les grandes entreprises technologiques à la Commission dans le cadre d’assignations à comparaître (subpoenas).
Lors d’une conférence de presse, le 22 mai, le porte-parole de la Commission européenne Thomas Regnier a déclaré que la Commission attendait des entreprises qu’elles « expurgent les informations sensibles ». « Nous soutenons notre personnel et nous n’hésiterons pas à prendre des mesures, si cela s’avère nécessaire, lesquelles resteront toujours proportionnées », a-t-il expliqué, précisant que la plainte, si elle était déposée, le serait « dans un État membre » de l’UE, et non aux États-Unis, sans préjuger de la suite, les discussions internes étant toujours en cours. Il n’a pas précisé si cette affaire pourrait avoir des implications plus larges pour les échanges de données personnelles entre l’UE et les États-Unis.
« L’application des réglementations numériques de l’UE, adoptées démocratiquement, relève de la souveraineté européenne. La Commission reste déterminée à appliquer le DSA pleinement et sans ralentissement et, ce faisant, soutient fermement son personnel », a insisté Mme Virkkunen dans sa réponse. (Ana Pisonero Hernández)