Un nouveau rapport par le groupe européen de protection des consommateurs Beuc, réfléchissant aux obstacles à une application transfrontière efficace du cadre phare de protection des données de l’UE, rend une lecture difficile pour les législateurs et les régulateurs régionaux alors qu’ils cherchent à façonner les prochaines décennies de surveillance numérique à travers le bloc.
Les membres de Beuc ont déposé une série de plaintes contre l’utilisation par Google des données de localisation Novembre 2018 – mais environ deux ans après avoir soulevé des problèmes de confidentialité, les plaintes n’ont pas été résolues.
Le géant de la technologie continue de générer des milliards de revenus publicitaires, notamment en traitant et en monétisant les données de localisation des internautes. Son principal responsable de la protection des données, sous GDPR mécanisme de guichet unique pour traiter les plaintes transfrontalières, la commission irlandaise de protection des données (DPC), a finalement ouvert une enquête en février cette année.
Mais il pourrait encore s’écouler des années avant que Google ne soit confronté à une action réglementaire en Europe liée à son suivi de localisation.
En effet, le DPC de l’Irlande n’a pas encore émis tout décisions transfrontières du RGPD, environ 2,5 ans après le début de l’application du règlement. (Bien que, comme nous l’avons signalé récemment, un affaire liée à une violation de données Twitter s’approche d’un résultat dans les prochains jours.)
En revanche, la CNIL, la CNIL, a pu mener à bien une enquête RGPD sur la transparence du traitement des données de Google en commande beaucoup plus rapide l’année dernière.
Cet été Les tribunaux français ont également confirmé l’amende de 57 millions de dollars qu’il avait infligée, mettant fin à l’appel de Google.
Mais l’affaire a précédé la mise sous la juridiction de Google de la DPC. Et le régulateur irlandais des données doit faire face à un nombre disproportionné de multinationales technologiques, étant donné le nombre d’entre elles qui ont établi leur base européenne dans le pays.
Le DPC a un important arriéré d’affaires transfrontalières, avec plus de 20 sondages GDPR impliquant un certain nombre d’entreprises technologiques, notamment Apple, Facebook / WhatsApp et LinkedIn. (Google fait également l’objet d’une enquête en Irlande sur son adtech depuis 2019.)
Cette semaine, le commissaire européen au marché Internet, Thierry Breton, a déclaré que les législateurs régionaux étaient bien conscients «goulots d’étranglement» d’application dans le règlement général sur la protection des données (RGPD).
Il a suggéré que la Commission a tiré les leçons de cette friction – affirmant que cela garantira que des préoccupations similaires n’affecteront pas le fonctionnement futur d’un proposition réglementaire relative à la réutilisation des données qu’il parlait en public pour présenter.
La Commission souhaite créer des conditions standard pour réutilisation respectueuse des droits des données industrielles dans toute l’UE, via une nouvelle loi sur la gouvernance des données (DGA), qui propose des mécanismes de surveillance similaires à ceux impliqués dans la surveillance des données personnelles par l’UE – y compris des agences nationales de contrôle de la conformité et un organe directeur centralisé de l’UE (qu’ils prévoient d’appeler le Conseil européen de l’innovation des données en tant qu’entité miroir du comité européen de la protection des données).
Le programme ambitieux de la Commission pour la mise à jour et l’élargissement du cadre des règles numériques de l’UE signifie que la critique du RGPD risque d’enlever l’éclat de la DGA avant que l’encre ne sèche sur le document de proposition – mettant pression sur les législateurs pour qu’ils trouvent des moyens créatifs de débloquer le «goulot d’étranglement» de l’application du RGPD. (Créatif car les agences nationales sont responsables de la surveillance quotidienne et les États membres sont responsables du financement des APD.)
Dans un premier examen du RGPD cet été, la Commission a fait l’éloge du règlement en tant que «texte de loi moderne et horizontal» et «point de référence mondial» – affirmant qu’il avait servi de point d’inspiration pour les CCPA et d’autres cadres émergents de confidentialité numérique dans le monde.
Mais ils ont également admis que l’application du RGPD faisait défaut.
La meilleure réponse à cette préoccupation « sera une décision de l’autorité irlandaise de protection des données concernant des affaires importantes », a déclaré le commissaire à la justice de l’UE, Didier Reynders, dans juin.
Cinq mois plus tard, les citoyens européens attendent toujours.
Le rapport de Beuc – qui s’appelle La route longue et sinueuse: deux ans du RGPD: une affaire de protection des données transfrontalière du point de vue du consommateur – détaille les obstacles procéduraux auxquels ses organisations membres ont été confrontées pour chercher à obtenir une décision relative aux plaintes initiales, qui ont été déposées auprès de diverses autorités chargées de la protection des données dans l’UE.
Cela inclut les préoccupations de la DPC irlandaise qui procède à des «vérifications d’informations et d’admissibilité» inutiles; ainsi que de rejeter les plaintes déposées par une organisation intéressée au motif qu’elle n’a pas de mandat en vertu de la loi irlandaise, car elle ne permet pas de recours par un tiers (pourtant, l’organisation de consommateurs néerlandaise avait déposé la plainte en vertu de la loi néerlandaise qui le fait…).
Le rapport demande également pourquoi le DPC a choisi d’ouvrir une enquête de son plein gré sur les activités de données de localisation de Google (plutôt qu’une enquête fondée sur une plainte) – ce qui, selon Beuc, risque de retarder davantage la prise de décision sur les plaintes elles-mêmes.
Il souligne en outre que l’enquête du DPC sur Google ne porte que sur l’activité depuis février 2020 et non depuis novembre 2018, lorsque les plaintes ont été déposées – ce qui signifie qu’il manque une partie du traitement des données de localisation de Google qui n’a même pas encore fait l’objet d’une enquête.
Il note que trois de ses organisations membres impliquées dans les plaintes de Google avaient envisagé de demander un contrôle juridictionnel de la décision de la DPC (NB: d’autres recouru à cette route) – mais ils ont décidé de ne pas poursuivre en partie en raison des frais juridiques importants que cela aurait entraînés.
Le rapport souligne également le déséquilibre inhérent au mécanisme de guichet unique du RGPD qui déplace l’administration des plaintes vers l’emplacement des entreprises faisant l’objet de l’enquête – faisant valoir qu’elles bénéficient donc d’un «accès plus facile à la justice» (par rapport au consommateur ordinaire confronté à des poursuites judiciaires dans un pays et une langue (vraisemblablement) différents).
«Si l’autorité chef de file se trouve dans un pays ayant une tradition de« common law », comme l’Irlande, les choses peuvent devenir encore plus complexes et coûteuses», note en outre le rapport de Beuc.
Un autre problème qu’il soulève est celui des plaintes relatives aux droits devant lutter contre ce qu’il appelle « une cible mouvante » – étant donné que les entreprises technologiques disposant de ressources suffisantes peuvent tirer parti des retards réglementaires pour modifier (superficiellement) les pratiques, aggravant les abus continus avec des campagnes de relations publiques trompeuses. (Quelque chose que Beuc accuse Google de faire.)
Les DPA doivent «adapter leur approche de mise en application pour intervenir plus rapidement et directement», conclut-il.
«Plus de deux ans se sont écoulés depuis que le RGPD est devenu applicable, nous sommes maintenant à un tournant. Le RGPD doit enfin montrer sa force et devenir un catalyseur de changements urgents dans les pratiques commerciales », poursuit Beuc dans un résumé de ses recommandations. «L’expérience de nos membres et celle d’autres organisations de la société civile, révèle une série d’obstacles qui entravent considérablement l’application efficace du RGPD et le bon fonctionnement de son système d’application.
« BEUC recommande à l’UE et aux autorités nationales compétentes de déployer un effort global et conjoint pour garantir l’application rapide des règles et améliorer la position des personnes concernées et de leurs organisations représentatives, en particulier dans le cadre des procédures d’exécution transfrontalières. »
Nous avons contacté la Commission et la DPC irlandaise avec des questions sur le rapport. Mais au moment de la rédaction de cet article, aucun n’avait répondu. Nous avons également demandé à Google de commenter.
Beuc a envoyé plus tôt une liste de huit recommandations pour une application «efficace» du RGPD à la Commission en mai.