98 % des infractions au RGPD par les géants du tech restent sans suite

Un rapport indique que l’organisme irlandais de surveillance de la protection des données n’appliquerait pas les lois européennes sur la protection de la vie privée aux géants américains de la technologie. 

L’Irlande accusée d’inaction

Google, Facebook, Apple, Microsoft et Twitter ont tous leur siège européen à Dublin. La Commission irlandaise de protection des données (DPC) est ainsi le principal régulateur européen chargé de leur faire respecter la loi. Fermement critiquée, la DPC est accusé par d’autres régulateurs européens d’inaction. 

En effet, 98 % des 164 plaintes importantes concernant des violations de la vie privée n’ont toujours pas été résolues par l’autorité de régulation irlandaise, indique un nouveau rapport du Conseil irlandais pour les libertés civiles (ICCL). Johnny Ryan, chargé de mission à l’ICCL, présente l’Irlande comme le “maillon faible” de l’application du Règlement général sur la protection des données (RGPD) de l’Union européenne. Le rapport compare l’Irlande à  l’Espagne. Avec un budget moins important, l’autorité espagnole produirait 10 fois plus de projets de décision.

Des répercussions européennes

“L’application du GDPR à l’encontre de Big Tech est paralysée par l’incapacité de l’Irlande à rendre des projets de décision sur des cas transfrontaliers” explique Johnny Ryan. Ce retard et vide juridique est un problème, puisque les autres régulateurs européens doivent attendre les projets de décision irlandais avant de pouvoir prendre leurs propres mesures contre les entreprises.

Face à ce constat, l’ICCL affirme avoir écrit à Didier Reynders, commissaire européen à la justice. La lettre rappelle que la Commission européenne a le devoir, en tant que “gardienne des traités”, de veiller à la bonne application du GDPR. Le Conseil invite la Commission à “agir contre l’Irlande et les autres États membres de l’UE qui mettent en péril les droits fondamentaux dans l’Union”.

En réponse aux critiques de l’ICCL, Helen Dixon défend fermement son bureau. Trois ans après l’entrée en vigueur du règlement, la directrice l’autorité de régulation irlandaise fait remarquer que trop peu de jurisprudence avait été établie. Par conséquent, chaque examen nécessiterait une analyse approfondie des principes de base.

La DPC irlandais attaqué en justice

En juillet, l’ensemble du corps législatif irlandais a déclaré “craindre que les droits fondamentaux des citoyens ne soient en péril”. L’Oireachtas a donc publié un rapport appelant à une réforme du DPC et l’exhortant à commencer à appliquer le GDPR. 

En mars, des responsables allemands ont attaqué en justice la DPC irlandaise. Ulrich Kelber, responsable allemand de la protection des données, a écrit aux membres du Parlement européen pour se plaindre que l’Allemagne à elle seule avait “envoyé plus de 50 plaintes concernant WhatsApp” aux autorités irlandaises et qu’”aucune n’a été classée à ce jour”.

Il a également critiqué le “traitement extrêmement lent des cas par l’Irlande, qui se situe nettement en dessous de la progression du traitement des cas de la plupart des régulateurs de l’UE et en particulier de l’Allemagne”. À la fin de l’année dernière, l’Irlande n’avait conclu que quatre affaires sur 196. L’Allemagne en a clos 52 sur 176.

Un contrôle limité

Les règles de l’UE en matière de protection de la vie privée octroient au Conseil européen de la protection des données le pouvoir d’agir contre les organismes de surveillance des données au niveau des États membres. Mais ses pouvoirs sont limités. Le Conseil ne peut pas forcer une autorité telle que la DPC irlandaise à “faire son travail”. Toutefois, l’Union européenne peut engager une procédure d’infraction contre un État membre qui ne met pas en place des politiques efficaces pour protéger les règles de confidentialité.

Selon les règles actuelles, Dublin est la mieux placée pour forcer sa propre agence de protection des données à exercer ses pouvoirs.