La Data Protection Commission (DPC), l'équivalent de notre CNIL en Irlande, a publié le 7 mars 2023 son rapport annuel détaillé présentant l'ensemble de ses actions sur l'année 2022. Avec ce document, l'autorité irlandaise espère prouver qu'elle a tenté d'agir pour faire respecter le Règlement général sur la protection des données personnelles (RGPD) auprès des géants technologiques présents en Irlande.
17 enquêtes menées, 9 amendes infligées : le bilan de la DPC
Afin de défendre son bilan sur l'année civile 2022, la DPC a présenté ses chiffres clés. L'autorité régulatrice a traité 5 828 notifications de violation sur les données personnelles. 97 % d'entre elles étaient justifiées puisqu'elles ont été validées par le service concerné. Parmi toutes les notifications 52 % provenaient du secteur privé, 44 % du secteur public et les 4 % restants du secteur bénévole et caritatif. Le manquement le plus fréquent a été la divulgation non autorisée d'informations personnelles par voie postale.
En 2022, la DPC a mené 17 enquêtes d'envergure et infligé neuf amendes pour un total de 1,1 milliard d'euros. La plupart d'entre elles concernent Meta qui ne s'est pas mis en conformité vis-à-vis du RGPD. Ainsi, à la fin de l'année dernière, le gendarme irlandais a sanctionné Facebook d'une amende de 210 millions d'euros, et Instagram d'une deuxième de 180 millions d'euros. Le réseau social de partage de photos et de vidéos avait déjà été condamné à verser 405 millions d'euros au cours de l'année.
Dans le même registre, l'entreprise dirigée par Mark Zuckerberg a reçu une autre amende de 265 millions d'euros pour ne pas avoir protégé correctement les données de ses utilisateurs. Cette sanction est la conclusion d'une enquête menée depuis avril 2021, date à laquelle Alon Gal, le cofondateur d'une entreprise de cybersécurité avait affirmé que les données de 533 millions d'utilisateurs de Facebook avaient été piratées.
D'autres structures plus modestes ont reçu des amendes : la banque d'Irlande, Fastway Couriers ou encore Slane Credit Union. Contrairement à Meta, ces sanctions ont été plus minimes, les amendes ne s'élèvent qu'à quelques centaines de milliers de dollars, tout au plus. D'autres grosses entreprises ont juste reçu un rappel à l'ordre. C'est le cas d'Airbnb, Allianz ou Twitter. Pour le réseau social détenu par Elon Musk, plusieurs représentants de la Commission européenne se sont demandé si l'entreprise avait toujours du personnel qualifié pour respecter le cadre législatif européen.
L'autorité irlandaise est-elle trop laxiste ?
Si la DPC veut absolument défendre son bilan, c'est parce qu'elle est sous le feu de nombreuses critiques. Au début de l'année 2022, l'Irish Council for Civil Liberties (ICCL) accusait la Data Protection Commission d'être inactive sur certains dossiers brûlants. L'association reprochait à la DCP la lenteur de son traitement d'une plainte contre Google datant de 2018 autour du ciblage personnalisé des publicités en ligne, le Real-Time-Bidding.
Quelques moins plus tard, la médiatrice de l'UE, l'Irlandaise Emily O'Reilly, recommandait à la Commission européenne de surveiller de près l'ensemble des affaires des GAFAM et autres géants technologiques relevant de la responsabilité de la DPC. Cela a débouché sur la prochaine application d'une circulaire obligeant l'ensemble des CNIL européennes d'informer trimestriellement l'institution européenne de toutes en enquêtes en cours.
Parallèlement, la DPC qui devait se renforcer grâce à du personnel supplémentaire est en retard dans son recrutement. Une nouvelle qui ne fait que conforter le sentiment de lenteur qui plane au-dessus du régulateur. Actuellement, la DPC serait en train de travailler sur 22 enquêtes jugées importantes. Deux d'entre elles visent ByteDance et son réseau social TikTok, soupçonnés d'envoyer des données en Chine et de ne pas protéger suffisamment les informations personnelles des mineurs inscrits sur la plateforme. Selon le rapport, des conclusions préliminaires seront bientôt apportées autour de cette affaire ouverte le 14 septembre... 2021.
