Recevez chaque jour toute l'actualité du numérique

x

La Cnil irlandaise laisse filer 99,93% des plaintes déposées au titre du RGPD

L'association autrichienne NOYB rapporte que seules 0,07% des plaintes introduites devant la Cnil irlandaises aboutissent alors que son budget annuel a augmenté. De plus en plus de voix s'élèvent contre cette inaction qui empêcherait de punir les comportement des grandes entreprises technologiques qui ont, pour la majorité, leur siège européen à Dublin.
Twitter Facebook Linkedin Flipboard Email
×

La Cnil irlandaise laisse filer 99,93% des plaintes déposées au titre du RGPD
La Cnil irlandaise laisse filer 99,93% des plaintes déposées au titre du RGPD © Cnil

Le constat est accablant. Près de 99,93% des plaintes déposées devant la Data Protection Commission (DPC), l'équivalent de la Commission nationale de l'informatique et des libertés en Irlande, n'aboutissent pas, d'après l'association de protection des droits numériques NOYB.

0,07% des plaintes aboutissent
En 2020, 10 000 plaintes ont été déposées devant l'autorité de protection des données personnelles. Seules six à sept décisions formelles devraient être rendues en 2021, d'après la DPC, soit 0,07% des plaintes enregistrées. Pourtant, elle a bénéficié d'un financement supplémentaire de 19,1 millions d'euros.

Face à cette "disparition", le président de NOYB Maximilian Schrems évoque un "triangle des Bermudes". Il accuse la DPC de confondre le fait de "traiter" une affaire et le fait de la trancher. Cependant, "la loi de 2018 (le Règlement général sur la protection des données, ndlr) n'oblige pas la DPC à produire une décision dans le cas d'une plainte", a répliqué Helen Dixon, qui est à la tête de l'autorité, citée par l'association autrichienne. 

Or, NOYB rappelle que l'article 8 de la Charte des droits fondamentaux de l'Union européenne traite du droit à la protection des données personnelles. Ce sont les autorités nationales de protection des données (APD) de chaque pays qui sont chargées de faire respecter ce droit pour chaque utilisateur, gratuitement et dans un délai raisonnable. "Le droit européen exige un moyen facile et gratuit de faire valoir vos droits. La DPC refuse désormais ouvertement ce droit à tous les citoyens européens", s'insurge Maximilian Schrems.

La DPC, autorité principale pour les Gafam
Au sein même des autorités de protection, des voix commencent à s'élever sur la passivité de la Cnil irlandaise, qui empêcherait de réprimer correctement les comportements des grandes entreprises technologiques. Pour rappel, la DPC est le chien de garde de ces sociétés puisque la majorité des sièges européens de ces entreprises est située à Dublin.

La seule sanction prise par la Cnil irlandaise est celle infligée à Twitter de 450 000 euros pour avoir incorrectement notifié une violation de données intervenue en 2018, qui a rendu publics des tweets protégés. Elle devrait également rendre une décision très attendue sur WhatsApp dans les mois à venir.

Face à ces accusations, Helen Dixon tente de défendre son institution. Elle a par exemple mis en avant le fait que la DPC a été la seule autorité à prendre des mesures à la suite de l'invalidation du Privacy Shield par le juge européen en juillet dernier. Elle a demandé à Facebook de cesser immédiatement de transférer les données des utilisateurs européens vers les Etats-Unis. La procédure est toujours en cours.

Des pays demandent la suppression du "guichet unique"
La DPC a également accusé ses homologues d'invoquer des raisons politiques pour remettre en question son efficacité. Ce sont "les mêmes autorités de protection des données qui critiquent aujourd'hui l'Irlande et le guichet unique" que "celles qui ont rejeté officiellement le concept de guichet unique (…) il n'est pas surprenant qu'il y ait un élément politique dans les critiques qui sont faites", -a-t-elle expliqué.

Pour rappel, c'est le RGPD qui a conféré à la DPC un rôle de chien de garde en vertu du principe du "guichet unique". En effet, ce texte prévoit qu'un organisme établi dans l'UE doit avoir pour seule interlocuteur l'autorité du pays où est situé son "établissement principal". Et tout naturellement l'Irlande a été choisi comme un "guichet unique" pour gérer l'ensemble du contentieux des données personnelles.

La France est l'un des pays qui plaide pour une suppression de ce système. Mais les responsables européens craignent que cela n'érode le principe de marché commun. "Cela supprimerait l'un des premiers piliers du droit européen et signifierait qu'une entreprise, au lieu d'être soumise à une unique autorité, serait soumise à 27 autorités", a déclaré une source citée par le Financial Times.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.