À la tête de la Commission de la Data protection de l’Irlande depuis 2014, Helen Dixon a présenté le 20 février son rapport annuel pour 2019. Comme chacun sait, avec l’entrée en vigueur du RGPD depuis 2018, la Commission irlandaise chargée de la protection des données (DPC) a multiplié ses plaintes contre les géants du Web. L’année 2019 n’échappe pas à la règle, bien au contraire, puisque celles-ci n’ont cessé d’augmenter. Voici toutefois plus en détail ce qu’il faut retenir de ce dernier bilan.

La CNIL irlandaise (DPC) souvent accusée d’arrondir les angles avec les géants de la tech

Réputée pour être à la tête du « guichet unique » pour régenter les problèmes en matière de protection des données, la tâche de la commissaire irlandaise n’est pas simple. L’Irlande accueillant sur son sol de nombreux sièges de géants technologiques depuis des années, le pays représente « le point névralgique de la régulation des acteurs des technologies en Europe », rappelait le Figaro en 2019.

Il a d’ailleurs été souvent reproché à Helen Dixon d’être plutôt dans la conciliation que dans la répression. Celle-ci avait d’ailleurs été obligée de reconnaître que l’Irlande est un pays jeune, avec un « régime fiscal favorable, ce qui en fait une base attractive pour entreprises depuis longtemps ». Dixon insiste néanmoins régulièrement sur l’indépendance de la DPC : « Mais la DPC est une agence indépendante du pouvoir politique, et le gouvernement a d’ailleurs été extrêmement mécontent après certaines de nos décisions. ».

D’autre part certains rappellent que la Commissaire irlandaise se doit d’être vigilante et solide dans son argumentaire : « Elle est très prudente sur le plan procédural car ses conclusions doivent être robustes si elle veut éviter d’être invalidée par la justice européenne que les géants du numérique pourraient saisir en appel », déclarait ainsi Yann Padova, ancien Secrétaire général de la CNIL, et aujourd’hui Commissaire à la CRE (Commission de régulation de l’énergie), en charge des questions numériques, des réseaux intelligents, et du Big Data.

La tâche se complique également en raison des scandales venus ternir l’image de la Commission irlandaise, suspectée de ne pas avoir une si grande marge de manœuvre. Pas plus tard qu’en mars 2019, c’est l’ancien premier ministre irlandais lui-même, Enda Kenny, qui avait été soupçonné de défendre les intérêts de Facebook. La firme aurait discrètement œuvré pour qu’on limite la portée du règlement européen sur la vie privée, avaient alors déclaré The Guardian et Computer Weekly.

Les points mis en exergue par le rapport de la DPC

S’il apparaît dans un contexte mitigé, le rapport, lui, dévoile une augmentation de 75% des plaintes déposées, soit 7215 au total en 2019. Parmi les plus récentes, on retiendra l’enquête ouverte contre Google le 4 février. La DPC a ainsi fait suite aux réclamations de plusieurs groupes de défense des consommateurs, et veillera à établir si la firme de Mountain View agit légalement, ou non, lors de la collecte de données des utilisateurs. C’est avec impatience que nous attendons le verdict…

Plus récemment encore, la DPC a également empêché le déploiement de l’application de rencontre Facebook Dating. Le réseau social avait en effet déposé son rapport le 3 février pour un lancement 10 jours plus tard. La DPC a estimé qu’elle n’aurait pas le temps nécessaire pour examiner le dossier. Ayant déjà 11 enquêtes en cours sur Facebook, il serait malvenu d’autoriser avec trop de hâte une application, qui, a fortiori, traitera de nombreuses données personnelles pour permettre aux gens d’évaluer leurs affinités…

Autre décision fort attendue, et reportée à plusieurs mois depuis novembre 2019, le verdict concernant les inquiétudes de la DPC, face au traitement de données des services de messagerie Facebook.

Parmi les plaintes réglées, le DPC en compte 5496, tandis que « 6069 violations de sécurité des données valides ont été signalées », soit presque deux fois plus qu’en 2018. La DPC déclare également avoir arrêté le 31 décembre 2019, le nombre d’enquêtes statutaires en cours, à 70. Parmi elles 49 enquêtes sont d’ordre national, dont 6 relèvent de la conformité technologique de multinationales au RGPD, et dont 21 sont transfrontalières (pour 457 plaintes reçues).

Une augmentation des effectifs est à relever : « Les effectifs sont passés de 110 fin 2018 à 140 fin 2019, dont deux sous-commissaires supplémentaires ». Beaucoup de chiffres et statistiques, mais très peu sur les décisions prises à l’encontre des géants de la tech, déclare TechCrunch.

En dépit des travaux mis en place par la DPC au sujet de la protection des données des enfants : le traitement de celles-ci fera partie des choses observées en priorité en 2020, déclare Helen Dixon, les décisions ne font pas foule en effet. D’autant qu’il reste encore beaucoup à faire, les discussions portant essentiellement sur les informations à donner aux enfants concernant leurs propres données, la détermination de l’âge auquel on peut considérer qu’il y a « consentement numérique », et dans quelles circonstances le « profilage » des enfants peut être autorisé sur le plan marketing et publicitaire.

La protection des données : un projet européen difficile à mettre en place

Helen Dixon peut compter sur le soutien de Margrethe Vestager, Commissaire européenne à la concurrence : « l’application des règles de protections des données doit être prise en compte dans les décisions des autorités de la concurrence, en particulier quand elles étudient des fusions entre entreprises. Je suis d’accord avec elle [Helen Dixon]. Les données sont le pouvoir. Nous travaillons tous au bénéfice du consommateur. » rapportait Les Échos en novembre 2019.

Toutefois les institutions mises en place pour tenter de réguler le pouvoir des entreprises technologiques, et principalement les GAFA, n’est pas une mince affaire, tout le monde le sait. Difficile dans un premier temps de réussir un travail d’harmonisation au sein de l’Europe. D’autre part les lois commerciales prennent souvent le dessus, et les géants du Web ont tôt fait de trouver des solutions pour contourner les embûches.

Prenons pour simple exemple l’une des grandes opérations de Microsoft en 2018. La société numérique, dont les comptes s’arrêtaient en juin cette année-là, a bien sûr attendu septembre de la même année pour rapatrier 52,8 milliards d’actifs financiers depuis Singapour vers son siège social en Irlande. L’opération n’étant ainsi pas prise en compte au moment d’établir le chiffre d’affaires, et le bénéfice annuel.

D’autre part, comme il a été évoqué plus haut dans l’article, les institutions verront leurs efforts extrêmement limités tant que l’Europe ne sera pas unanimement d’accord sur la politique à mener face aux géants de la tech. Le moins qu’on puisse dire, c’est que cela n’est pas gagné. Certains étant encore très frileux à l’égard des mesures de taxation souhaitées par des représentants comme Bruno Le Maire, ministre français de l’Économie et des Finances.  Les discussions sont à ce sujet toujours en cours avec l’OCDE.

Par ailleurs, le gouvernement irlandais est lui-même réputé pour garantir un environnement fiscal plus que clément aux géants du Web. Allant même jusqu’à conseiller à ces derniers de faire entendre leur point de vue les concernant sur ces taxations : le ministre des finances Pascal Donohoe ayant fait part des « très, très sérieuses réserves » du gouvernement irlandais sur ce sujet lors d’une rencontre en 2019 avec le Silicon Valley Tax Directors Group, en Californie.

Il est évident que le système économique de ces entreprises étant principalement fondé sur la récupération des données, les gouvernements de l’Irlande, mais également de la Suède, la Finlande ou encore le Danemark – déjà tous contre une taxation numérique – ne risquent pas d’entrer en faveur d’une réelle amélioration de la protection de celles-ci de sitôt.