Cinq ans après l’entrée en vigueur du règlement général sur la protection des données (RGPD, le principal texte qui régit la collecte et la conservation des données personnelles des citoyens européens), le régulateur irlandais reste un goulot d’étranglement des procédures, estime l’Irish Council for Civil Liberties (ICCL), une ONG de défense des libertés publiques, dans un rapport publié lundi 15 mai.
L’Irlande s’est, en effet, vu doter de pouvoirs de régulation très importants depuis l’entrée en vigueur du RGPD, en mai 2018 : le texte a mis en place des « guichets uniques » pour les grandes entreprises du numérique, qui font du régulateur national du pays où se trouve leur siège européen leur unique interlocuteur. L’Irlande, qui accueille ceux d’Alphabet (Google, YouTube), Meta (Facebook, Instagram, WhatsApp) et Microsoft, est donc en première ligne pour enquêter sur les plaintes visant les plus grandes entreprises mondiales du secteur.
Or, estime l’ICCL, le régulateur national manque de fermeté. Sur cinquante-quatre dossiers instruits depuis 2018, la Data Protection Commission (DPC), l’équivalent irlandais de la Commission nationale de l’informatique et des libertés (CNIL) en France, a conclu des accords à l’amiable dans quarante-six cas, ne menant des procédures de sanctions jusqu’à leur terme que pour les huit restants. C’est le seul régulateur européen à avoir eu recours de manière aussi massive à des accords à l’amiable ; une possibilité tout à fait légale mais qui est « contraire aux recommandations européennes concernant les entreprises déjà condamnées par le passé », note l’ICCL.
Des amendes trop faibles
De plus, même dans les huit cas où des sanctions ont été prises après enquête, les montants des amendes étaient comparativement faibles. A tel point que, dans les trois quarts de ces dossiers, les décisions irlandaises ont été invalidées par le Comité européen de la protection des données (CEPD), un organe qui rassemble l’ensemble des régulateurs européens et qui a le pouvoir d’imposer aux instances nationales de revoir leur copie lorsqu’ils estiment les sanctions inappropriées. En janvier, Meta avait ainsi été condamné à une amende record de 390 millions d’euros par le régulateur irlandais, après que le CEPD a refusé de valider la sanction dix fois inférieure initialement prévue.
La DPC dispose pourtant désormais d’importants moyens, remarque l’ICCL, qui avait déploré dans de précédents rapports le sous-investissement chronique de Dublin dans son régulateur de la vie privée. « Les budgets des régulateurs européens ont doublé depuis 2016, pour atteindre 337,6 millions d’euros, et le budget du régulateur irlandais figure désormais parmi les cinq plus importants d’Europe, juste derrière celui de la CNIL », se félicite l’ONG. Mais le fonctionnement de l’instance irlandaise doit être réformé en profondeur, estime l’Irish Council of Civil Liberties, qui en appelle à l’intervention du commissaire à la justice de l’Union, Didier Reynders.