Les régulateurs européens de la protection des données ont progressé vers une décision d’exécution pour un Twitter violation que l’entreprise divulgué publiquement en 2019, après qu’une majorité de contrôleurs des données de l’UE ont accepté de soutenir un projet de règlement soumis plus tôt par la Commission irlandaise de protection des données (DPC).
Twitter a révélé le bogue dans sa fonction «Protégez vos tweets» au début de l’année dernière – disant à l’époque que certains utilisateurs d’Android qui avaient appliqué son paramètre pour rendre leurs tweets non publics peuvent avoir vu leurs données exposées à l’Internet public depuis aussi loin que 2014.
Un nouveau régime de protection des données, quant à lui, est entré en vigueur dans l’Union européenne en mai 2018 – ce qui signifie que la violation de 2014-2019 relève du règlement général sur la protection des données (RGPD) de l’UE.
La DPC irlandaise est l’autorité de contrôle principale dans l’affaire Twitter, mais la nature transfrontalière de ses activités signifie que toutes les agences de protection des données de l’UE ont un intérêt et la capacité de formuler des objections «pertinentes et motivées» au projet. Les objections au projet de décision de la DPC ont été dûment élevé au cours de l’été – déclencher un processus de résolution des litiges pour les cas transfrontaliers prévus dans le RGPD.
Le comité européen de la protection des données (EDPB), un organisme qui aide à coordonner l’activité réglementaire paneuropéenne, dit aujourd’hui il a adopté sa première décision au titre de l’article 65 – faisant référence au mécanisme de règlement des différends entre le patchwork de contrôleurs des données de l’UE. Cela signifie qu’au moins une majorité des deux tiers des APD de l’UE ont soutenu le règlement.
« Le 9 novembre 2020, l’EDPB a adopté sa décision contraignante et la notifiera prochainement formellement à la SA irlandaise », a-t-il écrit dans un communiqué.
Le commissaire adjoint de l’Irlande, Graham Doyle, a confirmé que l’EDPB l’avait informé d’une décision au titre de l’article 65 – mais a refusé de commenter davantage à ce stade.
Le DPC irlandais a désormais jusqu’à un mois pour rendre une décision finale.
«La SA irlandaise [supervisory authority] adopte sa décision finale sur la base de la décision de l’EDPB, qui sera adressée au responsable du traitement, sans retard injustifié et au plus tard un mois après que l’EDPB a notifié sa décision », ajoute le communiqué de l’EDPB.
Les détails des sanctions que Twitter peut encourir, comme une amende, n’ont pas encore été confirmés. Mais la fin du processus est maintenant en vue.
Le RGPD impose aux responsables du traitement une obligation légale de protéger de manière adéquate les données personnelles. Les sanctions financières pour violation du cadre peuvent atteindre 4% du chiffre d’affaires mondial annuel d’une entreprise. (Bien que, dans le cas des grandes technologies, la plus grande amende du RGPD à ce jour reste une Une amende de 57 M $ giflée sur Google par la CNIL française.)
Contrairement à cette affaire Google – que la CNIL a poursuivie avant que Google ne déplace sa base juridique européenne en Irlande – l’affaire Twitter est transfrontalière et sera la première affaire du RGPD de ce type à être conclue une fois qu’une décision finale sera rendue.
Le règlement phare de l’UE sur la protection des données continue de faire l’objet de critiques sur le temps qu’il faut pour que les affaires et les plaintes fassent l’objet d’enquêtes et que des décisions soient rendues, en particulier celles liées aux grandes technologies.
L’année dernière, le régulateur irlandais a déclaré que ses premières décisions transfrontières relatives au RGPD arriveraient «tôt» en 2020. Dans le cas où la première arriverait avant la fin de 2020 – mais c’est un rythme qui ne devrait pas faire taire les critiques qui soutiennent que les régulateurs de l’UE sont pas équipé pour la tâche complexe et gourmande en ressources de surveiller la façon dont les grandes technologies traitent les données des gens.
L’affaire de violation de Twitter est également susceptible d’être considérablement moins complexe que certaines des enquêtes GDPR basées sur des plaintes en cours sur les grandes plates-formes technologiques – qui comprennent des sondages autour des bases juridiques de Facebook pour traiter les données des utilisateurs et de la manière dont l’échange publicitaire de Google utilise les utilisateurs d’Internet. Les données. Pourtant, l’EDPB a encore accordé un mois supplémentaire complet au processus de l’article 65 (au lieu d’un mois par défaut) en raison de ce qu’il a décrit comme «la complexité du sujet». Cela n’augure rien de bon pour les affaires plus contentieuses.
Néanmoins, le règlement des différends sur les affaires transfrontalières peut conduire à une plus grande cohérence et aider les autorités chargées de la protection des données à accélérer le rythme de l’application au fil du temps.
L’ICO du Royaume-Uni ressemble à un récit édifiant à cet égard – après avoir récemment porté les tondeuses à des amendes préliminaires massives annoncées dans un une paire de (GDPR non-big tech) cas de violation de données, ce qui signifie que l’application de la loi a fini par être à la fois plus tardive et moins piquante qu’elle ne l’avait d’abord été.
Malgré les affirmations des critiques selon lesquelles l’application du RGPD continue d’être manquant là où cela devrait être difficile, la question de savoir comment réglementer efficacement les grandes technologies est une question à laquelle les législateurs européens ne reculent pas.
Au contraire, la Commission devrait présenter une proposition législative le mois prochain à appliquer ex ante règles aux plates-formes Internet dominantes dans le cadre d’un projet de loi sur les marchés numériques. Dans le cadre de ces plans, les soi-disant «gardiens» seront soumis à une liste de «choses à faire et à ne pas faire» qui devrait inclure des contrôles sur la façon dont ils peuvent partager des données. Cela pourrait également voir une poussée pour créer un régulateur paneuropéen pour superviser les principales plates-formes.
Une telle approche pourrait aider à réduire le fardeau de surveillance auquel est confrontée une poignée de DPA de l’UE avec un nombre démesuré de grands géants de la technologie dans leurs livres, comme le DPC irlandais. Mais, encore une fois, il y aura probablement une longue attente avant que de nouvelles règles de plate-forme de l’UE soient en mesure d’être effectivement appliquées.