DUBLIN – Les règles historiques de l’UE en matière de protection de la vie privée ont été saluées comme un succès lors de leur lancement en 2018, mais certains pensent qu’elles ont accordé trop de poids aux autorités individuelles et ont conduit à une activité atone et à une bureaucratie accrue.

TikTok est récemment tombé sous la juridiction de la Commission irlandaise de protection des données, ajoutant à une lourde charge de travail pour le régulateur irlandais.

Avec plusieurs grandes entreprises technologiques, y compris Facebook, Google et Twitter, ayant son siège européen à Dublin, le DPC est devenu le chien de garde le plus en vue d’Europe pour faire appliquer le RGPD, les règles de confidentialité des données de la région.

Le règlement, avec sa possibilité de lourdes amendes, est considéré comme la loi sur la protection des données la plus robuste de l’histoire. Mais le statut élevé du DPC depuis son entrée en vigueur a soulevé des questions quant à la qualité des ressources nécessaires pour gérer une charge de travail aussi importante et importante.

Le rapport annuel de la DPC pour 2020 indiquait qu’elle avait traité 10 151 cas au total cette année-là, soit une augmentation de 9%. Pendant ce temps, l’autorité est au milieu d’une affaire juridique très médiatisée avec Facebook sur les transferts de données aux États-Unis

En décembre, plus de deux ans et demi après l’entrée en vigueur du RGPD, la DPC a émis sa première sanction financière RGPD contre une grande entreprise technologique américaine lorsque Twitter a été condamné à une amende de 450 000 euros (535 594 $).

La durée de l’enquête et la somme d’argent a suscité des critiques de Max Schrems et d’autres défenseurs de la protection des données.

Noyb, l’organisation fondée par Schrems, critique fréquemment la DPC. Romain Robert, avocat principal chez Noyb, a déclaré que l’organisation était frustrée par l’application du RGPD par la plupart des autorités de protection des données en Europe.

« Les attentes envers le DPC sont vraiment décevantes. Nous ne voyons pas beaucoup de décisions », a déclaré Robert à CNBC.

Graham Doyle, le commissaire adjoint de la DPC, a déclaré à CNBC que les enquêtes, en particulier les enquêtes transfrontalières sur les grandes entreprises technologiques, prennent un certain temps.

« Je dis cela depuis mai 2018, en essayant de gérer les attentes, ne vous attendez pas à ces grosses amendes (immédiatement). Cela va prendre du temps », a déclaré Doyle.

« L’accent est mis sur le rythme des enquêtes et la conviction que, simplement parce que vous avez plus de personnes, cela signifie que les choses vont se passer plus rapidement. Ce n’est pas nécessairement le cas. Dans certains domaines, cela aidera, mais dans d’autres, cela signifie que vous pouvez faites plus simultanément », a déclaré Doyle.

Dans le dernier budget du pays, la DPC a reçu 19,1 millions d’euros de financement du gouvernement irlandais, contre 16,9 millions d’euros l’année précédente. L’agence compte près de 150 employés et en comptera 200 d’ici la fin de l’année.

Doyle a répondu aux appels pour que des décisions rapides soient prises une fois les plaintes déposées.

« Cela ne prend pas en compte des procédures équitables, c’est juste une hypothèse », a-t-il déclaré.

Le RGPD a établi le mécanisme de guichet unique, qui permet aux entreprises opérant dans toute l’UE de faire rapport à l’autorité de protection des données d’un État membre. C’est dans le cadre de ce mécanisme que TikTok et plusieurs autres font rapport au DPC.

Cela signifie que le chien de garde irlandais est souvent le principal enquêteur des enquêtes transfrontalières, telles que l’enquête sur Twitter et plusieurs enquêtes ouvertes sur Facebook et ses services.

« Il est absolument vrai que le guichet unique a signifié que le DPC irlandais est devenu le principal régulateur de facto pour de nombreuses grandes plates-formes technologiques », a déclaré Doyle.

Johannes Caspar, le chef de l’autorité de protection des données de Hambourg, s’est prononcé sur l’efficacité de cette approche.

« La procédure de guichet unique a montré des déficits massifs car elle conduit à l’inefficacité, aux structures bureaucratiques et à des différences massives entre l’application de la loi dans les procédures purement nationales et européennes », a déclaré Caspar à CNBC.

Il a déclaré que les procédures pour mener des enquêtes transfrontalières peuvent être « extrêmement bureaucratiques ». Cela peut conduire à des enquêtes nationales menées rapidement, mais les grandes enquêtes sur les bannières progressent à un rythme plus lent.

« Une protection efficace des droits et libertés des personnes concernées, mais aussi une concurrence loyale sur le marché numérique, ne peuvent être réalisées de cette manière », a-t-il déclaré.

Alors que le troisième anniversaire du RGPD approche en mai, la DPC dispose d’un « solide pipeline » de décisions majeures qui seront publiées en 2021, a déclaré Doyle.

L’une d’elles est une enquête sur WhatsApp appartenant à Facebook sur la manière dont les données sont partagées entre l’application de messagerie et son propriétaire. L’enquête devrait donner lieu à une amende comprise entre 30 millions d’euros et 50 millions d’euros, marquant la première amende massive de la DPC à l’ère du RGPD.

« Je voudrais contrer l’argument avancé en termes de rythme des enquêtes. Nous avons franchi des étapes révolutionnaires en termes de RGPD dans les enquêtes transfrontalières. Il s’agit d’un nouveau texte législatif qui ne sera disponible que dans près de trois ans. », Dit Doyle.

Pour Robert de Noyb, ce n’est toujours pas suffisant. Il a déclaré qu’à quelques exceptions notables – comme la sanction de 50 millions d’euros de l’autorité française CNIL sur Google – de nombreuses autorités de protection des données du continent ont agi trop lentement.

« Beaucoup de gens se concentrent sur la DPC mais certaines des autres DPA (autorités de protection des données) sont également très décevantes », a-t-il déclaré, en désignant l’autorité luxembourgeoise, qui a Amazon sous son égide mais n’a pris aucune mesure.

Il a ajouté qu’il était nécessaire de procéder à une analyse objective des ressources, des budgets et des charges de travail de tous les DPA pour avoir une véritable idée de la performance du RGPD.