L'Autorité roumaine pour la protection des données (la DPA roumaine) a ordonné jeudi à RISE Project, une organisation de journalisme d’investigation roumaine de renommée internationale, de révéler ses sources sous peine d'une amende pouvant aller jusqu'à 20 millions d'euros en vertu du RGPD. Avant d'aller plus loin, rappelons que le règlement général de l'Union européenne sur la protection des données (RGPD) vise à donner aux Européens plus de contrôle sur leurs informations et la manière dont les entreprises les utilisent, tout en prévoyant des pénalités en cas de manquement des entreprises. Il oblige donc les groupes d'Internet, entre autres entreprises qui recueillent une grande quantité de données sur leurs clients, à aménager leurs conditions d'utilisation pour les Européens.La DPA roumaine a envoyé une lettre à RISE Project pour obtenir des informations sur des posts Facebook et un rapport publiés par ses journalistes cette semaine. Ces posts ont permis d’établir des liens entre les hommes politiques les plus puissants de la Roumanie et Tel Drum SA, une société de construction actuellement impliquée dans un grand scandale en Roumanie.
L'entreprise s'est vu attribuer un projet de construction d'une route en Roumaine en 2016 ; lequel projet a été financé par l'UE à hauteur de 21 millions d'euros. Mais un audit mené par l'Office européen de lutte antifraude (OLAF) « a révélé des preuves suggérant une collusion entre le bénéficiaire des fonds, des agents publics et le contractant, notamment la falsification de documents lors de la procédure de passation de marché ... ayant résulté dans le paiement de 21 millions d’euros provenant des fonds de l’Union européenne. » L’OLAF a donc demandé au gouvernement roumain de récupérer les 21 millions d’euros et de renvoyer l’affaire à la direction nationale roumaine de la lutte contre la corruption (DNA) pour poursuivre l'affaire. En novembre 2017, la DNA a fini par accuser Liviu Dragnea - président du Parti social-démocrate (PSD) au pouvoir - et les dirigeants de Tel Drum SA de fraude avec les fonds de l'UE, mais aussi d'avoir créé un groupe criminel organisé et utilisé abusivement leur position à des fins personnelles.
Le projet RISE et ses journalistes documentent actuellement le cas concernant le vol de fonds de l'UE, et ses récentes révélations n'ont fait que verser de l'huile sur le feu. Ses révélations portent sur Liviu Dragnea ainsi que d'autres personnes qui ont bénéficié au fil des ans de l'argent de Tel Drum SA. Les journalistes du projet RISE ont trouvé la preuve que Dragnea et sa famille bénéficiaient des fonds de Tel Drum SA et entretenaient des relations étroites avec les dirigeants de la société. D'après les informations publiées, ils ont passé des vacances ensemble à l’étranger, sont allés à la chasse ensemble et Tel Drum SA a financé divers travaux de construction, d’entretien et d’embellissement de propriétés appartenant à la famille de Dragnea. Mais Dragnea nie ces accusations et rejette tout lien avec Tel Drum SA ou les activités de la société.
C'est suite à ces révélations que la DPA roumaine a envoyé jeudi une lettre au projet Rise pour lui demander de révéler ses sources sous peine d'une amende de 20 millions d'euros en vertu du RGPD. Plus précisément, l'autorité de protection des données souhaite savoir comment et quand RISE Project a obtenu les informations finalement publiées sur Facebook, qui sont leurs sources, comment l'organisation de journalisme d'investigation a stocké les documents et quelles autres informations personnelles le projet RISE dispose sur Dragnea, les dirigeants de Tel Drum et leurs amis. Ils ont demandé aux journalistes de transmettre les informations dans un délai de 10 jours sous peine d'amende.
Mais pour le consortium de centres d'investigation OCCRP (Organized Crime and Corruption Reporting Project), partenaire de RISE Project, il s'agit d'une utilisation abusive du RGPD par la Roumanie pour museler les médias. L'OCCRP et RISE Project estiment en effet que le gouvernement roumain tente d'utiliser le RGPD pour annuler les rapports d'investigation. L'OCCRP considère qu'il s'agit d'un abus grave du règlement européen par des politiciens intéressés par leur propre intérêt et cherchant à se protéger. « Nous nous opposons fermement à cette demande et notre partenaire a indiqué qu'il ne fournirait aucune information sur les sources à l'autorité de protection des données, malgré la menace d'une amende de 650 € par jour contre RISE Project », déclare le consortium sur son site.
L'OCCRP et Rise Project estiment d'ailleurs que le moment et les circonstances de cette action sont suspects. Les lecteurs du projet RISE, ainsi que les avocats consultés par l'organisation, s'étonnent notamment de la rapidité avec laquelle l'autorité roumaine de la protection des données a réagi dans cette affaire, alors que de nombreuses autres affaires présentées par des citoyens roumains traînent pendant des mois sans suite. Cela peut toutefois s'expliquer, car comme le note l'OCCRP, la présidente de la DPA roumaine a été nommée par le PSD à la tête de l'Autorité de protection des données et est elle-même inculpée dans une affaire de corruption liée à un détournement de fonds publics. L'OCCRP et RISE Project exhortent donc les autorités européennes à mettre immédiatement fin à l'utilisation abusive du RGPD.
Sources : OCCRP (injonction de la DPA roumaine), OCCRP (opposition à l'injonction)
Et vous ?
Qu'en pensez-vous ? Cette injonction est-elle valide en vertu du RGPD ? Le règlement européen n'est-il pas suffisamment clair pour ne pas être sujet à des utilisations abusives ?Voir aussi :
Violations de données personnelles : la CNIL dresse un premier bilan chiffré, quatre mois après l'entrée en application du RGPD Etude : Google est le plus grand bénéficiaire du RGPD grâce à sa position dominante, et à une concentration sur le marché de la publicité en ligne USA : l'inventeur de JavaScript déclare que les États-Unis ont besoin de leur propre RGPD dans un courrier envoyé au Sénat Le Royaume-Uni a émis la première mise en demeure sous l'ère RGPD à l'encontre d'une firme canadienne liée au scandale Cambridge Analytica La France enregistre une hausse de 64 % des plaintes relatives à la vie privée depuis le RGPD, témoignant que les citoyens se sont appropriés le RGPD