Suite à une demande réalisée par l'Irish Council for Civil Liberties (ICCL), une association irlandaise qui lutte pour la conservation des droits fondamentaux, les régulateurs européens de la protection des données devront collaborer avec la Commission européenne. La Commission nationale de l'informatique et des libertés (CNIL) et ses homologues européens transmettront régulièrement des informations relatives aux enquêtes en cours autour du Règlement général sur la protection des données (RGPD).
La CNIL irlandaise accusée d'être inactive et de ne pas faire respecter le RGPD
Durant l'année 2022, l'ICCL accusait la Data Protection Commission (DCP), l'autorité irlandaise sur la protection des données personnelles, d'être inactive sur certains agissements d'entreprises en Irlande. Le pays est connu pour abriter les succursales européennes des géants technologiques américains qui viennent s'implanter sur le territoire irlandais afin de bénéficier du faible taux d'imposition sur les sociétés. Si ce taux était de 12,5 %, il est passé à 15 % à la fin de l'année 2021 suite à la signature d'un accord avec l'OCDE.
En mars 2022, l'ICCL a même porté plainte contre la DCP. La raison invoquée était «son incapacité à protéger les personnes contre la plus grande violation de données jamais enregistrée ». L'organisation non gouvernementale faisait référence à la méthode conçue par Google pour le ciblage personnalisé des publicités en ligne, le Real-Time-Bidding (RTB).
Johnny Ryan, membre de l'ICCL, avait expliqué les raisons de sa plainte, « Pendant 3 ans et demi, j'ai demandé à la Commission irlandaise de protection des données d'enquêter et d'agir, et elle ne l'a pas fait, ce qui fait que tous les Européens ont été exposés à cette affaire ». Puisque le siège de Google est situé en Irlande, seule la DPC peut réagir face aux agissements de Google ne respectant pas le RGPD.
La Commission européenne devra être informée de toutes les enquêtes sur les données personnelles
Parallèlement à cette affaire, l'ONG a demandé à la Commission européenne d'intervenir sur le sujet. En décembre 2022, la médiatrice de l'UE, l'Irlandaise Emily O'Reilly, recommandait à l'institution européenne de surveiller de plus près l'ensemble des affaires des géants technologiques relevant de la responsabilité de la DPC. La Commission européenne a répondu favorablement à cette demande à la fin du mois de janvier 2023.
Dans sa réponse, l'institution affirme qu'elle compte demander à l'ensemble des régulateurs de partager « sur une base bimensuelle et strictement confidentielle, une vue d'ensemble des enquêtes transfrontalières à grande échelle au titre du RGPD ». Pour chaque enquête, les CNIL européennes devront transmettre le numéro de dossier, le nom des entreprises concernées, le type d'enquête, les étapes à venir ainsi que les mesures déjà prises à l'encontre des organismes visés.
Dans un communiqué, Johnny Ryan a exprimé sa joie, « Auparavant, les gros dossiers restaient en sommeil pendant des années. Maintenant, nous devrions assister à une accélération des enquêtes et de l'application de la loi ; il deviendra évident pour tout le monde contre quels États membres – ceux qui n’appliquent pas le RGPD – la Commission européenne doit prendre des mesures rapides ».
