La CNIL irlandaise accusée de paralyser la bonne application du RGPD

La Commission irlandaise de protection des données (DPC) est «  le pire goulot d’étranglement du RGPD », selon le rapport de l'ICCL. [Shutterstock]

Un nouveau rapport du Conseil irlandais pour les libertés civiles (Irish Council for Civil Liberties, ICCL) a accusé l’organisme irlandais de surveillance de la protection des données de freiner l’application du règlement européen sur la protection des données (RGPD) en Europe et a demandé à la Commission européenne d’intervenir, avertissant que le RGPD « se meurt en silence ».

La Commission irlandaise de protection des données (DPC) est « le pire goulot d’étranglement du RGPD», selon le rapport. Étant donné que de nombreuses entreprises technologiques, dont Apple, Facebook, Google, Microsoft et TikTok, ont leur siège européen en Irlande, la DPC est l’autorité principale dans de nombreux cas cruciaux de protection des données, mais pour l’ONG, elle ne remplit pas sa mission.

Source: La paralysie de l’application de la loi en Europe – Le rapport 2021 de l’ICCL sur la capacité d’application de la loi des autorités de protection des données.

Le rapport qualifie également la Commission européenne de « silencieuse » face à la situation décrite, et accuse l’exécutif européen de se concentrer excessivement sur la nouvelle législation tout en négligeant l’application du RGPD.

Dans une lettre ouverte, l’ONG épingle le commissaire à la justice Didier Reynders, l’exhortant à lancer une procédure d’infraction contre l’Irlande pour défaut d’application du RGPD.

« La Commission a le devoir de veiller à ce que le droit européen soit correctement appliqué. Cela inclut le RGPD. Les données que nous avons publiées aujourd’hui montrent que cela n’a pas été le cas. Pour nous protéger tous, et s’assurer que Google, Facebook et les autres entreprises de Big Tech soient tenues responsables, il est important que le commissaire Reynders intervienne maintenant », a déclaré Johnny Ryan, chargé de mission à l’ICCL.

RGPD : les eurodéputés demandent une procédure d'infraction contre l'Irlande

Le Parlement européen a voté, jeudi 20 mai, en faveur d’une résolution demandant à la Commission européenne d’ouvrir une procédure d’infraction contre l’Irlande pour défaut d’application du Règlement général sur la protection des données (RGPD).

Le cas irlandais

La DPC irlandaise examine 164 cas transfrontaliers de violations présumées du RGPD. Cependant, près de trois ans et demi après l’entrée en vigueur du RGPD, la DPC n’a émis que quatre projets de décision, laissant près de 98 % des cas non traités.

Le rapport compare les performances de la DPC à celles de l’autorité espagnole de protection des données, qui a rédigé dix fois plus de décisions malgré un budget annuel de 15,8 millions d’euros, inférieur aux 19 millions d’euros irlandais.

Source: La paralysie de l’application de la loi en Europe – Le rapport 2021 de l’ICCL sur la capacité d’application de la loi des autorités de protection des données.

« Le rapport de la commission parlementaire irlandaise de la justice du 22 juin, et le rapport de l’ICCL aujourd’hui, indiquent clairement que la première zone d’attention doit être l’Irlande », a ajouté M. Ryan de l’ICCL, soulignant un rapport d’une commission parlementaire irlandaise qui, en juillet, a souligné de la même manière les lacunes du DPC dans le traitement des plaintes liées au RGPD.

« La bonne nouvelle est que le RGPD a déjà les anticorps nécessaires pour remédier à l’inaction des superviseurs », a déclaré Vincenzo Tiani, associé résident du cabinet d’avocats Panetta. M. Tiani a souligné un arrêt de la Cour de justice de l’Union européenne qui, en juin, a permis aux autorités, qui ne sont pas « chef de file », de lancer des enquêtes liées au RGPD dans des circonstances spécifiques.

« Dans les cas où les demandes d’une autorité de contrôle à un collègue ne sont pas traitées dans un délai d’un mois, l’autorité de contrôle peut prendre des mesures autonomes temporaires et l’affaire sera soumise au CEPD [Contrôleur européen de la protection des données] », a noté M. Tiani.

Dans les procédures transfrontalières, les autorités qui ne sont pas prioritaires peuvent contester la conclusion du contrôleur principal, auquel cas le CEPD tranchera. C’est ce qui s’est passé lorsqu’une amende record de 225 millions d’euros infligée à WhatsApp par la DPC au début du mois, le CEPD ayant obligé l’autorité irlandaise à augmenter la sanction.

RGPD : les affaires transfrontalières ne se limitent pas à l’autorité « cheffe de file », selon la Cour de justice de l’UE

Dans des conditions exceptionnelles, les autorités chargées de la protection des données ont le pouvoir d’ouvrir une procédure judiciaire pour violation du RGPD, même lorsque l’organisation concernée est légalement basée dans un autre pays de l’UE.

Un contexte plus large

La DPC irlandaise a également été critiquée pour son approche « timide » de l’application du RGPD. Cependant, le rapport a également souligné les faiblesses de l’architecture globale de l’application du RGPD.

La mise en application est également très concentrée dans une poignée de pays, puisque la France, l’Allemagne, l’Irlande, le Luxembourg, les Pays-Bas, l’Espagne et la Suède reçoivent plus de 70 % du total des plaintes.

Selon le rapport, les pays de l’UE continuent d’augmenter les budgets des autorités de protection des données, mais à un rythme de plus en plus faible. L’autorité allemande représente à elle seule un tiers de l’ensemble des dépenses de l’UE.

Pour Paolo Balboni, professeur de protection de la confidentialité des données à l’université de Maastricht, l’autorité irlandaise n’est pas la seule à blâmer. « Le gouvernement irlandais et les gouvernements de tous les États membres de l’UE doivent allouer des ressources adéquates à leurs autorités nationales de protection des données afin de leur permettre de mener à bien leurs fonctions comme l’exige le RGPD. »

Les auteurs du rapport ont noté que moins de 10 % des employés des autorités de protection des données de l’UE sont des spécialistes en technologie. En outre, seulement 44 % des décisions finales au niveau de l’UE incluent des mesures correctives, telles que des amendes ou des ordres d’arrêter le traitement.

Le Conseil irlandais des libertés civiles a également souligné le fait que la Commission européenne ne dispose pas de données permettant de savoir si les autorités de protection des données en Europe utilisent leurs pouvoirs, dans quelle mesure et dans quels cas. En conséquence, « le RGPD échoue en silence », conclut le rapport.

« Le contexte actuel, avec le Royaume-Uni qui plaide pour une approche plus favorable aux entreprises et qui est prêt à s’éloigner de certains des éléments clés du bloc européen en matière de protection de la confidentialité des données, augmente encore la pression sur l’UE et les capitales européennes. Ils doivent démontrer que leur système fonctionne réellement », a déclaré Diletta De Cicco, associée du cabinet d’avocats Steptoe.

RGPD : le Luxembourg devient le champion européen en matière de sanctions

Quels sont les pays européens qui sanctionnent le plus les violations de données personnelles ? Après l’amende record infligée à Amazon le mois dernier par le Luxembourg, EURACTIV fait le point.

Subscribe to our newsletters

Subscribe