Le commissaire irlandais à la protection des données (DPC), chargé de réglementer les grandes entreprises technologiques dont le siège est en Irlande, a appelé à des mesures objectives pour mesurer l’efficacité des régulateurs européens de la protection des données.
Les commentaires de la commissaire irlandaise à la protection des données, Helen Dixon, font suite à des plaintes selon lesquelles DPC ne traite pas avec les grandes entreprises technologiques, telles que Facebook et Microsoft.
Ce Le Conseil irlandais des libertés civiles a débattu l’année dernière que l’Irlande n’a pas adopté de décisions sur les grandes entreprises technologiques, laissant l’application de la loi de l’Union européenne (UE) « paralysée ».
Cette semaine, journaliste Facebook Frances Haugen a déclaré à la commission parlementaire irlandaise qu’il devrait y avoir un examen indépendant des principales réglementations technologiques DPC de l’Irlande.
Dixon a utilisé son rapport annuel publié cette semaine pour faire valoir que les régulateurs de données de l’UE devraient s’entendre sur des paramètres pour mesurer l’efficacité de l’application.
« Si l’objectif collectif de nous tous est d’assurer une meilleure protection des personnes contre l’utilisation abusive de leurs données personnelles et, en effet, de s’assurer qu’elles ne soient pas lésées par une mise en œuvre excessive du RGPD. [General Data Protection Regulation] règles », les types de paramètres quantitatifs et qualitatifs qui doivent être évalués doivent être soigneusement définis », a-t-il déclaré.
« De plus, des priorités d’application devraient être établies et l’impact des différentes mesures d’application et sanctions devrait être suivi et analysé au fil du temps pour l’impact et l’optimisation des ressources », a-t-il ajouté.
« Une telle métrique doit cependant contourner la pratique banale et l’hypothèse selon laquelle plus l’amende est importante, plus le changement de comportement qu’elle annonce est important », a-t-il écrit dans DPC. rapport annuel 2021.
L’application du RGPD menacée
Dixon a déclaré que « à certains égards au moins », le DPC devait faire mieux et qu’il serait avantageux pour les régulateurs d’avoir une « compréhension commune » des actions qu’ils suivaient.
« En l’absence d’un ensemble d’actions convenues pour déterminer les réalisations ou les lacunes, la position du régime d’application du RGPD dans son ensemble risque d’être endommagée », a-t-il déclaré.
Dixon a déclaré que c’était particulièrement le cas « lorsque certains types d’accusations » portées contre le DPC irlandais « ne servent qu’à masquer la véritable nature et l’étendue des défis » présentés par le cadre réglementaire de l’UE – qui oblige les États membres à légiférer pour l’application. protection des données dans toute l’UE.
« Nous opérons dans un environnement où, en l’état, il n’y a pas de normes convenues pour mesurer l’impact et le succès (ou autre) de nos interventions réglementaires », a déclaré Dixon.
Cela a créé un vide et « un récit a émergé dans lequel le nombre de cas, la quantité et la taille des amendes administratives infligées, traitées comme la seule mesure du succès, sont informés par l’efficacité des sanctions financières » pour encourager le changement de comportement.
Le Luxembourg et l’Irlande sont présentés en tête du classement des amendes dans l’UE, mais cela nous en dit très peu sur l’efficacité de la réglementation dans le cadre du RGPD, a déclaré Dixon.
Les chiffres comparant le nombre d’affaires réglementaires transfrontalières fournissent également peu d’informations significatives, car les décisions varient considérablement en termes de complexité et de procédures d’enquête appliquées.
Dixon a déclaré que, par exemple, la décision du DPC « s’étend sur plusieurs centaines de pages, touche aux processus complexes des grandes organisations multinationales et a un impact sur des millions de personnes mesurées côte à côte avec un traitement relativement simple en deux lignes. problèmes qui ont des conséquences minimes pour les personnes concernées en général ».
« Ce n’est clairement pas un moyen informatif de mesurer le succès (ou non) du RGPD », a-t-il ajouté.
Le DPC travaille avec d’autres autorités de protection des données pour convenir d’un ensemble de paramètres permettant de mesurer la production réglementaire dans l’UE « sur une base comparable », en vue de répondre aux questions sur l’efficacité des interventions réglementaires, déplore Dixon.
Gérer la grande technologie
Dixon a déclaré qu’une grande partie des commentaires publics dans l’UE sur l’efficacité des réglementations en matière de protection des données visait les préoccupations concernant les contrôles exercés par les plateformes de médias sociaux à grande échelle.
En Europe, a-t-il déclaré, il ne fait « aucun doute » que – même avec ses imperfections – le RGPD continuera à fournir « le meilleur cadre disponible dans lequel les droits individuels à la protection des données peuvent être efficacement défendus ».
« Nous devons identifier, de manière appropriée, les dangers et les risques spécifiques que nous voulons réduire et/ou éliminer », a-t-il ajouté.
Dixon a déclaré que ce n’était pas le rôle d’un DPC ou d’une autorité de protection des données de cibler « toutes les manifestations » du pouvoir exercé par les plateformes technologiques.
Le DPC s’interroge sur l’efficacité du « guichet unique » de l’UE permettant aux entreprises technologiques d’être réglementées par l’autorité de protection des données d’un seul pays, et non par plusieurs autorités de protection des données en Europe.
Il a déclaré que les guichets uniques ont simplifié les défis réglementaires et administratifs auxquels sont confrontées les entreprises technologiques, mais n’ont guère réussi à garantir interprétation harmonisée du RGPD et créer des conditions de concurrence équitables dans tous les États membres de l’UE.
Dixon a déclaré que toutes les activités des entreprises multinationales ne relèvent pas de la compétence d’un guichet unique, ce qui entraîne des décisions de divers organismes de réglementation de l’UE difficiles à concilier.
« Tant d’activités transfrontalières qui peuvent se dérouler en dehors d’un dépanneur remettent en question l’efficacité de l’effort de coordination qui est censé être une caractéristique de la réglementation des opérations de traitement transfrontalier », a-t-il déclaré. « Cela peut également être considéré comme sapant l’idée principale du RGPD – à savoir que des conditions de concurrence équitables peuvent être créées dans toute l’Europe. »
Questions et décisions transfrontalières
Fin 2021, la DPC avait 30 enquêtes transfrontalières en cours, selon le rapport annuel.
Ils comprennent trois enquêtes en cours sur Facebook – maintenant connu sous le nom de Meta – examinant les violations de données, le traitement des données des enfants sur Instagram de Facebook et la base juridique sur laquelle Facebook s’appuie pour traiter les données personnelles.
Suite à une plainte de l’avocat autrichien Max Schrems, le DPC a sollicité des commentaires de Facebook sur la légalité des transferts de données de l’UE vers les États-Unis, en plus des commentaires sur Instagram et la base juridique de WhatsApp pour le traitement des données personnelles.
D’autres enquêtes sont en cours sur des entreprises technologiques, notamment Google concernant le traitement des données de localisation, LinkedIn concernant le traitement des données personnelles à des fins publicitaires, ainsi qu’Apple, Twitter, Yahoo et TikTok.
La DPC a reçu 10 888 demandes de renseignements et plaintes de particuliers en 2021, soit une augmentation de 7 % par rapport au chiffre de 2020, dont 8 017 avaient été résolues à la fin de l’année.
Dans une décision importante, le DPC a infligé une amende de €225 millions sur WhatsApp pour divers manquements à la conformité en 2021.
Le DPC a soumis huit projets de décisions transfrontalières de l’UE pour examen par d’autres autorités de protection des données entre mai 2018 et décembre 2021.
Bien que la plupart des autorités de protection des données aient approuvé le projet de décision DPC, l’Allemagne a soulevé six objections, l’Italie et la Pologne cinq, les Pays-Bas et la France quatre.
Deux décisions ont été finalisées, deux sont en attente de règlement des différends et le DPC examine quatre objections.
« Typical problem solver. Prone to bouts of apathy. Award-winning music lover. Alcohol nerd. Zombie aficionado. »
