Le chien de garde irlandais des données fait face aux critiques des défenseurs de la vie privée qui affirment qu’il ne traite pas de manière adéquate un « goulot d’étranglement » des plaintes GDPR.
La Commission irlandaise de protection des données (DPC) fait face à des critiques sur la façon dont elle a traité les plaintes GDPR contre les entreprises Big Tech.
Un comité mixte Oireachtas sur la justice a été informé hier (27 avril) de ses inquiétudes concernant «une spirale» de plaintes non résolues dans le cadre du RGPD.
Le Dr Johnny Ryan, chercheur principal au Conseil irlandais pour les libertés civiles (ICCL), a déclaré à la commission que le DPC n’a pas réussi à résoudre 98% des cas suffisamment importants pour être préoccupants dans toute l’UE.
Éviter l’Irlande
Le RGPD est entré en vigueur en mai 2018 et donne aux régulateurs des données le pouvoir d’infliger des amendes aux entreprises jusqu’à 4% de leur chiffre d’affaires mondial ou 20 millions d’euros, selon le montant le plus élevé, pour avoir enfreint les règles européennes de protection des données.
En plus d’être le chien de garde national des données, le DPC irlandais agit également en tant que principal superviseur des données de l’UE pour plusieurs grands acteurs technologiques qui ont des sièges sociaux européens en Irlande, notamment Apple, Facebook, Google, LinkedIn, TikTok et Twitter.
Bien que Ryan ait déclaré que cela avait donné à la DPC l’opportunité d’être «le lieu clé de la réglementation numérique», il a déclaré que cela signifie également que le pays est devenu un «goulot d’étranglement de l’enquête et de l’application du RGPD», poussant d’autres pays de l’UE à contourner l’Irlande lorsqu’ils s’en prennent entreprises technologiques.
En janvier de cette année, l’avocat général de la Cour européenne de justice a émis un avis selon lequel une plainte relative à la vie privée contre Facebook pouvait être traitée par l’une des autorités nationales de protection des données de l’UE.
Cela faisait suite à une bataille de longue date entre Facebook et l’autorité belge de protection des données concernant l’utilisation de cookies par l’entreprise pour suivre le comportement des internautes.
S’adressant hier à la commission mixte, Ryan a déclaré que cette contournement «met en péril une proposition de la Commission européenne selon laquelle l’Irlande deviendrait le super régulateur d’un autre élément clé de l’économie numérique».
Les plaintes prennent trop de temps
En décembre, Twitter est devenue la première entreprise à être condamnée à une amende en vertu du RGPD par la DPC dans une affaire transfrontalière. La décision fait suite à près de deux ans d’enquête après que Twitter a révélé que les tweets protégés de certains utilisateurs avaient été rendus publics.
L’avocat de la protection de la vie privée, Fred Logue, a déclaré au Comité mixte que les plaintes déposées auprès de la DPC prennent trop de temps. Il a ajouté que si les décisions finales de la DPC «sont généralement de bonne qualité… la procédure pour y arriver est tortueuse dans la mesure où elle ne sert souvent aucun objectif réel».
En septembre dernier, l’ICCL a également publié un rapport critiquant le DPC pour n’avoir pas agi en ce qui concerne les problèmes d’enchères en temps réel, qui impliquent que les annonceurs utilisent des données pour cibler les utilisateurs avec des publicités en ligne.
L’ICCL a décrit cette pratique comme une «violation de données au cœur du secteur de la publicité en ligne» qui permet le profilage illicite des utilisateurs par des sociétés de courtage de données. Le DPC a ouvert une enquête sur l’activité Ad Exchange de Google Ireland en mai 2019, qui est toujours en cours.
Mauvaise compréhension
Outre les longues procédures et les autres États membres qui prennent les choses en main, la DPC irlandaise a également été critiquée par le militant autrichien de la protection de la vie privée Max Schrems pour sa «compréhension extrêmement médiocre des dispositions de droit matériel du RGPD».
«Le DPC adopte une approche de« micro-débat »des plaintes et de« négociation »du respect de la loi au lieu de l’appliquer», a déclaré M. Schrems lors de la session du comité mixte d’hier.
Il a ajouté que cela signifie que les entreprises sont moins susceptibles de se conformer au RGPD, créant une «spirale de plaintes non résolues».
Schrems, dont le procès de longue date contre Facebook a abouti à une décision historique de l’UE contre le bouclier de protection des données, est depuis longtemps un critique de la DPC irlandaise.
Dans une lettre ouverte l’année dernière, le groupe à but non lucratif de Schrems, Noyb, a appelé les autorités européennes à pousser le chien de garde irlandais des données à accélérer le traitement des cas et ce qu’il a perçu comme une lente «procédure kafkaïenne» par le régulateur pour assumer les entreprises technologiques basées en Irlande.
Qu’a dit Helen Dixon?
La commissaire à la protection des données, Helen Dixon, a défendu le travail de la DPC au sein du comité mixte, affirmant qu’une grande partie des critiques était sans fondement.
Tout en reconnaissant que des améliorations des processus sont nécessaires, elle a déclaré que la complexité réside dans «une vaste gamme de parties prenantes».
«Les questions relatives à l’application de la réglementation par mon bureau ont attiré, et continuent d’attirer, des critiques particulières et acerbes, dont une grande partie est dirigée vers l’idée que, en tant qu’émanation de l’État irlandais, la DPC refuse délibérément de réglementer – ou a été délibérément constitué de manière à en être incapable », a-t-elle déclaré.
«Il n’y a pas deux cas identiques. À l’heure actuelle, un peu moins de trois ans après le début de l’application du règlement, il existe encore peu de jurisprudence établie pour guider ces évaluations et chaque examen nécessite donc une analyse des premiers principes.
«La complexité de la prise de décision impliquée dans le« guichet unique », dont les multinationales peuvent se prévaloir dans le cadre du RGPD, signifie que le rythme de livraison ne relève pas uniquement du domaine de la DPC», a-t-elle ajouté.
Le rapport annuel de la DPC de l’année dernière a montré que sur les 6628 notifications de violation valides reçues en 2020, 90% avaient été conclues au cours de la même année. Au 31 décembre 2020, la DPC avait 83 enquêtes statutaires en cours, dont 27 enquêtes transfrontalières.
Auteur/autrice
