RGPD : les eurodéputés demandent une procédure d’infraction contre l’Irlande

Malgré des milliers de plaintes, la DPC n’a émis qu’une seule sanction pour une violation du RGPD. [Shutterstock]

Le Parlement européen a voté, jeudi 20 mai, en faveur d’une résolution demandant à la Commission européenne d’ouvrir une procédure d’infraction contre l’Irlande pour défaut d’application du Règlement général sur la protection des données (RGPD).

Dans une résolution sur l’affaire Schrems II, une décision judiciaire historique qui a invalidé le « bouclier de protection » qui encadrait le partage de données entre l’UE et les États-Unis, les députés ont exprimé leur déception quant au fait que, dans la procédure judiciaire, la commission irlandaise à la protection des données (DPC) a préféré porter l’action en justice plutôt que de prendre une décision de son propre chef, comme il en avait le pouvoir.

La DPC a également essayé, sans succès, de mettre les frais de justice à la charge du défendeur, ce qui aurait eu « un effet dissuasif massif », décourageant les citoyens de l’UE de faire valoir leurs droits en justice, ont déclaré les députés.

Cependant, le véritable point de discorde est le fait que l’autorité irlandaise de protection des données n’a toujours pas statué sur de nombreuses plaintes relatives à la vie privée qui ont été remplies depuis l’entrée en vigueur du RGPD en mai 2018. « Les chiffres sont stupéfiants », a déclaré à EURACTIV l’activiste Max Schrems, à l’origine de l’affaire judiciaire.

« La DPC a signalé environ 10 000 plaintes l’année dernière, mais n’a pris aucune décision formelle sur aucune de ces plaintes. Elle a ouvertement reconnu lors d’une récente audition parlementaire que pour elle, le ‘traitement’ d’une plainte consiste également à la classer sans enquête.

Cela signifie que la principale voie pour faire respecter vos droits fondamentaux a échoué à 100% en Irlande en 2020. Si ce n’est pas un cas pour une procédure d’infraction, alors je ne sais pas ce que c’est », a-t-il ajouté.

« Le RGPD a passé le test de la crise sanitaire » se réjouit la présidente de la CNIL

La présidente de l’autorité régulatrice se réjouit que le RGPD se soit montré suffisamment « souple » en cette période de pandémie – alors qu’une part importante de ses avis rendus et de ses autorisations délivrées ont été liés à la crise.

Malgré des milliers de plaintes, la DPC n’a émis qu’une seule sanction pour une violation du RGPD. Pour les législateurs européens, cette inaction est en contradiction avec le RGPD, puisque l’article 60 exige que l’autorité compétente agisse « sans délai ». En outre, la résolution considère que les autorités de contrôle n’auraient pas pris de mesures suffisantes pour que le DPC se conforme au RGPD.

La plupart des géants du numérique ont leur siège européen en Irlande en raison de son système fiscal. Par conséquent, la DPC est la principale autorité de protection des données à statuer sur les violations du RGPD et les plaintes relatives à la vie privée déposées contre ces entreprises de la technologie. Selon les critiques, l’Irlande pourrait être tentée de minimiser l’application du RGPD, car il est dans son intérêt économique que les grandes entreprises technologiques restent basées sur son territoire.

RGPD : les eurodéputés regrettent l'absence de sanctions émises par l'autorité irlandaise de protection des données

En 2020, l’autorité irlandaise a révélé que 4 660 plaintes avaient été reçues au titre du RGPD, mais qu’à la fin de l’année, elle ne disposait que de 83 enquêtes réglementaires, dont 56 enquêtes nationales et 27 enquêtes transfrontalières.

Pour l’eurodéputée irlandaise Clare Daly (La Gauche), la focalisation sur la DPC est excessive, car elle considère que l’agence irlandaise fait partie d’un problème plus large lié au régime d’application du RGPD. « Nous pensons absolument qu’il est correct d’examiner le travail de la DPC irlandaise, étant donné l’importance de son rôle, mais nous ne pensons pas que cela devrait se faire au détriment de l’examen du système plus large à travers l’Europe et de ses failles et échecs », a-t-elle déclaré à EURACTIV.

Les tensions entre la DPC et ses homologues d’autres pays européens ont parfois éclaté en public. En mars, l’autorité allemande de protection des données a critiqué la lenteur de la DPC à traiter les plaintes. La directrice de l’autorité, Helen Dixon, a justifié ces retards en invoquant le manque de ressources. Le budget de la DPC n’a cessé d’augmenter ces dernières années, pour atteindre 19,1 millions d’euros en 2021.

« Nous avons constaté que certaines de ces ressources ont été mises à disposition et qu’il y a eu des améliorations, mais nous pensons qu’il est possible d’augmenter à nouveau les ressources de la DPC, étant donné que les entreprises qu’il est censé réglementer disposent de fonds presque illimités pour se battre et contester les affaires », a ajouté Mme Daly.

Le financement insuffisant en Irlande et au Luxembourg a déjà été mentionné dans l’examen du RGPD par la Commission européenne deux ans après son application.

À cette occasion, le commissaire à la justice et aux droits des consommateurs, Didier Reynders, avait déclaré à EURACTIV que la Commission européenne envisagerait de prendre des mesures contre l’Irlande, précisant que d’autres actions seraient prises auparavant pour assurer la conformité au RGPD avant de lancer une procédure formelle.

À la question de savoir quelles actions avaient été prises pour garantir la conformité à la protection des données, un représentant de la Commission a indiqué à EURACTIV que « plusieurs mesures ont récemment été prises dans ce sens au sein du [Comité européen de la protection des données], notamment pour améliorer les procédures du système dit de guichet unique. La Commission continuera à soutenir le travail du conseil et suivra attentivement les progrès réalisés. »

« Pour que le nouveau système de gouvernance du RGPD basé sur des autorités indépendantes de protection des données fonctionne efficacement, il est essentiel de développer la confiance et un esprit européen de coopération », a ajouté ce porte-parole qui a refusé de commenter si la Commission européenne allait ouvrir une procédure d’infraction contre l’Irlande.

EURACTIV a également contacté la DPC pour obtenir un commentaire, sans succès.

La fuite des données de 533 millions d'utilisateurs a eu lieu avant le RGPD, se défend Facebook

Au cours du week-end (3-4 avril), les données personnelles de millions d’utilisateurs de Facebook sont apparues sur un forum de piratage en ligne, notamment des numéros de téléphone, des identifiants Facebook, des informations biographiques et des lieux.

Subscribe to our newsletters

Subscribe