Cinq ans après l'entrée en vigueur du RGPD, la Cnil irlandaise se retrouve sur le banc des accusés
L'autorité irlandaise de protection des données est accusée "d’être un goulot d’étranglement” dans l'application du Règlement européen sur la protection des données, dans un rapport du Conseil irlandais pour les libertés civiles.
Cinq ans après l’entrée en vigueur du Règlement européen sur la protection des données (RGPD), “l’Europe demeure incapable de contrôler la manière dont les géants technologiques utilisent nos données”, déplore le Conseil irlandais pour les libertés civiles (ICCL), dans un rapport publié lundi 15 mai.
Entre mai 2018 et décembre 2022, les autorités européennes de protection des données ont étudié près de 400 dossiers dans le cadre du RGPD, qui ont débouché sur 159 décisions défavorables. Mais seulement 28 amendes ont été infligées. Et seulement 49 mises en demeure ont été prononcées. Près de deux tiers des affaires se sont ainsi soldées par de simples réprimandes, regrette l’ICCL.
Le coupable: la Cnil irlandaise ?
Pour expliquer ce bilan décevant, l’organisation de défense des libertés publiques avance un coupable : la Data Protection Commission (DPC), l’équivalent de la Cnil en Irlande, qui “continue d’être un goulot d’étranglement”. Alors que le gouvernement irlandais “refuse un audit indépendant pour réformer la DPC”, l’ICCL réclame une intervention de la Commission européenne. “L'UE ne peut pas être une superpuissance réglementaire à moins qu'elle n'applique ses propres lois”, avance-t-elle.
La Cnil irlandaise joue un rôle primordial dans l’application du RGPD. Le texte a en effet mis en place des “guichets uniques” pour les grandes entreprises du numérique, contrôlées par le régulateur du pays dans lequel elles ont installé leur siège européen. Google, Meta, Apple, Microsoft, TikTok, Airbnb ou encore Twitter ont choisi de s'implanter à Dublin, notamment pour des raisons fiscales.
Depuis 2018, la DPC fait l’objet de nombreuses critiques la jugeant trop clémente avec les sociétés qui ne respectent pas le RGPD. L’ICCL lui reproche notamment de conclure un nombre très élevé de résolutions à l’amiable : 46 sur les 54 dossiers que l’autorité a étudiés en cinq ans. Dans les affaires ayant débouché sur une décision, la DPC a été désavouée dans 75% des cas par le Comité européen de la protection des données (CEPD).
1,1 milliard d'amendes contre Meta
L’affaire la plus symbolique concernait les pratiques de Meta sur le consentement des internautes pour l’utilisation de leurs données personnelles à des fins publicitaires. Celui-ci est obligatoire en Europe depuis l’entrée en vigueur du RGPD. Face à cette nouvelle contrainte, Facebook et Instagram ont alors modifié leurs conditions générales d’utilisation, forçant ainsi leurs membres à accepter la publicité ciblée, généralement sans même le savoir.
Cette approche avait été initialement validée par la DPC, qui souhaitait seulement infliger une amende comprise entre 28 et 36 millions d’euros à Meta pour ne pas avoir suffisamment informé ses utilisateurs. Mais plusieurs de ses homologues européennes, dont la Cnil française, avaient contesté cette interprétation. Le dossier est alors remonté jusqu’au CEPD, dont les décisions s’imposent aux autorités nationales. Fin 2022, celui-ci a désavoué la DPC, contrainte de lui infliger une amende de 390 millions d’euros.
Face aux critiques, la DPC a défendu fin mars son bilan. “Deux tiers des amendes infligées en Europe ont été émises par la DPC après des enquêtes détaillées”, assurait sa directrice Helen Dixon, en marge de la publication de son rapport annuel. En 2022, l’autorité a conclu 17 enquêtes “d’envergure”, dont cinq qui concernaient Meta, la maison mère de Facebook, Instagram et WhatsApp. Celles-ci ont débouché sur cinq amendes pour un montant total de 1,1 milliard d’euros. Également ciblés par la DPC, Twitter et Airbnb ont récolté de simples réprimandes. Les autres enquêtes se sont traduites, en cumulé, par moins de 600 000 euros d'amende.
