Catégories
Politique

Deux ans après l'entrée en vigueur du nouveau régime de l'UE en matière de protection de la vie privée, des questions suspendent l'application de la loi

Alors que la loi phare sur la protection des renseignements personnels en Europe célèbre son deuxième anniversaire, une question continue de poser problème aux régulateurs: où est l'application des gros billets?

Depuis mai 2018, les autorités européennes de surveillance de la confidentialité ont infligé un peu plus de 150 millions d'euros d'amendes en vertu du règlement général sur la protection des données, ou RGPD.

Collectivement, les budgets des régulateurs pour la police et l'application des règles s'élèvent désormais à près de 300 millions d'euros, un montant bien inférieur à ce que de nombreux responsables souhaiteraient. Près de 300 000 plaintes ont été déposées contre tout le monde, de Facebook et Google aux magasins maman-et-pop à travers le bloc de 27 pays.

Mais deux ans après la mise en ligne du régime phare de l'UE en matière de confidentialité, les plus grands noms de la Silicon Valley restent largement indemnes malgré une multitude de plaintes. L'Irlande, qui héberge bon nombre de ces géants de la technologie, a annoncé vendredi avoir finalisé une enquête sur Twitter, sa première visant une entreprise de la Silicon Valley.

La décision a été soumise à d'autres régulateurs de l'UE qui doivent l'approuver. Une décision définitive et une éventuelle amende sont attendues le mois prochain.

Les Pays-Bas enquêtent toujours sur Netflix, tandis que l'autorité luxembourgeoise en matière de confidentialité, qui a notamment compétence sur Amazon et Paypal, n'a pas encore émis un seul avis d'exécution.

"Je suis totalement critique de la structure d'application du RGPD", a déclaré à POLITICO Johannes Caspar, chef de l'agence de protection des données de Hambourg. "L'ensemble du système ne fonctionne pas."

David vs Goliath

Une partie du problème est la coopération maladroite entre les fonctionnaires de l'UE.

En vertu des nouvelles lois sur la confidentialité de la région, le chien de garde où une entreprise est basée est responsable d'enquêter sur toutes les infractions possibles par cette entreprise à travers le bloc. Mais certaines autorités, notamment celles d'Allemagne, ont critiqué le système comme inefficace et finalement inapte à protéger le droit à la vie privée des Européens. Ils ont suggéré la création d'un régulateur paneuropéen pour freiner la Big Tech.

Mais un tel changement en profondeur dépasse le cadre de la prochaine évaluation des règles par la Commission européenne, qui est attendue le 10 juin. Il est plus probable qu’un appel à une plus grande utilisation des mécanismes de coopération existants, y compris une réunion mensuelle entre les régulateurs à Bruxelles.

"L'un des problèmes du RGPD est qu'il est devenu la loi de tout", a déclaré Helen Dixon, le régulateur irlandais de la protection de la vie privée, dans une interview accordée à POLITICO. "Il incite les autorités de protection des données à prendre énormément de décisions qui ont un impact sur les sociétés et les individus qui semblent aller bien au-delà du traitement des données."

La crise des coronavirus a exercé une pression supplémentaire sur les régulateurs alors que les gouvernements se sont tournés vers des techniques de collecte de données, des applications de smartphone de recherche des contacts aux caméras thermiques pour les contrôles de température afin de stopper la propagation du virus.

Les régulateurs ont proposé des réponses très différentes à ces activités.

Un thème réunit cependant tous les régulateurs: le manque de ressources.

Le chiffre d'affaires mondial d'Amazon a dépassé 257 milliards d'euros l'an dernier, mais l'autorité luxembourgeoise qui supervise ses opérations dans l'UE dispose d'un budget d'un peu moins de 5,5 millions d'euros avec 43 employés.

Le budget annuel de l’organisme de surveillance irlandais, qui s’élève à environ 15 millions d’euros, est principalement un changement de poche par rapport aux milliards gagnés chaque année par Facebook, Google et Microsoft. Presque toutes les agences de l'UE sont en sous-effectif et sous-financées pour le travail qui leur a été confié en vertu des nouvelles règles.

Dans ce contexte, il est facile de comprendre pourquoi les chiens de garde sont prudents. Leur puissance de feu juridique n'est pas à la hauteur de la masse des avocats que les entreprises internationales peuvent lancer lors de longs appels.

Ces faux pas coûteux font déjà partie du paysage juridique. Des amendes record de plusieurs millions de livres annoncées l'été dernier par l'autorité britannique de protection des données doivent encore se concrétiser et semblent presque sûres d'être bien inférieures à celles initialement proposées. Les tribunaux ont annulé les sanctions en matière de respect de la vie privée en Pologne, en Belgique et en Bulgarie, alimentant les inquiétudes au sein des agences concernant d'éventuels faux pas.

"L'une des plus grandes erreurs que nous pouvons faire est d'aller vite avec certaines choses et de les perdre dans le cadre d'un contrôle judiciaire", a déclaré Wojciech Wiewiórowski, Contrôleur européen de la protection des données, lorsqu'il a pris ses fonctions en décembre. "Si nous échouons à un contrôle judiciaire, non pas en raison du bien-fondé de l'affaire, mais en raison d'une formalité qui a été mal faite sur la route en raison de l'absence de procédure et de procédure, ce serait un désastre."

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *