La Commission de protection des données irlandaise (DPC) est traînée en justice en Irlande, devant la Haute Cour, compétente pour affaires civiles dans le pays, par le Conseil irlandais pour les libertés civiles (ICCL), selon la presse locale du 14 mars. L’association, en la personne de Johnny Ryan, reproche à la DPC son traitement d’une plainte contre Google et l’IAB Europe de 2018.

Une affaire qui dure depuis 3 longues années

L’année de l’entrée en vigueur du Règlement général des données personnelles (RGPD) au sein de l’Union européenne, Johnny Ryan a déposé une plainte contre les technologies publicitaires de Google et l’IAB. Cette plainte portait plus précisément sur le fonctionnement du Real-Time-Bidding (RTB). Une méthode utilisée pour le ciblage personnalisé des publicités en ligne.

Cette technologie de vente en temps réel d’une publicité. Son fonctionnement sur les plateformes publicitaires de Google est accusé de mobiliser des données personnelles sans autorisations et de les partager avec plusieurs acteurs, sans en avertir les utilisateurs. Pour l’ICCL cette technologie entre en infraction sur plusieurs points du RGPD.

Pour Johnny Ryan sa plainte n’a pas été traitée correctement par la DPC. Il a déclaré à TechCrunch, « Pendant 3 ans et demi, j'ai demandé à la Commission irlandaise de protection des données d'enquêter et d'agir sur la plus grande violation de données jamais enregistrée. Et elle ne l'a pas fait, ce qui fait que tous les européens ont été exposés à cette affaire ».

La DPC a ouvert une enquête formelle sur le RTB de Google en mai 2019 et en a informé Johnny Ryan. D’après ce dernier, la CNIL irlandaise a décidé d’écarter le volet sécurité des données de son enquête, pourtant le plus important à ses yeux. Il ajoute que sa requête n’a pas été traitée dans un délai raisonnable.

Formellement, la DPC n’est compétente que sur les éléments impliquant Google. Le système de guichet unique veut que les plaintes basées sur le RGPD soient soumises au régulateur où se situe le siège social de la société accusée. Le siège Europe de Google étant en Irlande, la DPC est compétente, de son côté, IAB est sous la responsabilité du régulateur belge.

IAB a, par exemple été récemment condamné en Belgique pour son dispositif Transparency & Consent Framework (TCF), utilisé par de nombreux sites pour récupérer le consentement des utilisateurs. Sur ce point, Johnny Ryan accuse la DPC de ne pas avoir transmis sa plainte à la CNIL concernée.

Face à cette démarche, Graham Doyle, commissaire adjoint de la DPC, a simplement répondu à TechCrunch ne pas avoir « grand-chose à dire à ce stade, si ce n'est que notre enquête progresse ».

La mauvaise réputation de la DPC la précède

La DPC concentre depuis plus d’un an des critiques venues de tous les coins du vieux continent pour sa lenteur, voire sa mansuétude lors du traitement de ses plaintes. Une plainte pour corruption a même été déposée contre elle par la figure européenne de la défense de la confidentialité des données, Max Schrems.

La Commission est d’autant plus exposée que l’Irlande concentre un grand nombre de sièges sociaux d’entreprises numériques européennes. Certains gouvernements de l’Union estiment qu’elle est responsable de l’application partielle du RGPD et espèrent faire évoluer le système de guichet unique. Cette nouvelle procédure contre la DPC ne va pas améliorer son image.