Dans une enquête menée et publiée le 15 mai 2023 par l’Irish Council for Civil Liberties (ICCL), l’association de défense des libertés publiques fustige la Data Protection Commission (DPC). L’équivalent de la CNIL en Irlande serait beaucoup trop laxiste vis-à-vis des mesures et sanctions qu’elle prend à l’encontre des géants technologiques implantés sur le territoire irlandais.

Le fort laxisme de l’autorité irlandaise pointée du doigt par l’ICCL

Selon le rapport proposé par l’ICCL, le régulateur irlandais ne serait pas assez sévère dans les sanctions qu’il donne. Sur les cinquante-quatre dossiers ouverts par la DPC depuis 2018, quarante-six d’entre eux ont abouti à un accord à l’amiable. Seuls huit ont donc mené à une procédure de sanction, généralement une amende. À titre de comparaison, la CNIL a sanctionné des entreprises à 54 reprises, et son homologue allemand à 60 reprises.

En tout, 75 % des décisions prises en première instance par la DPC ont été annulées par le comité européen de la protection des données afin d’imposer des sanctions bien plus sévères. Pour l’ICCL, le manque de financement des différentes autorités de protection des données qui était pourtant un des problèmes dans la décennie 2010-2020, ne serait pas à l’origine de ces manquements. Le budget de la Data Protection Commission a considérablement augmenté pour devenir le cinquième budget des autorités présentes dans l’espace économique européen.

Depuis la mise en application du règlement général sur la protection des données (RGPD), la DPC a obtenu des pouvoirs de régulation très importants. En effet, de nombreuses grandes entreprises étrangères ont leur siège social européen en Irlande, ce qui fait de l’autorité, le principal régulateur au sein de l’Union européenne en matière de traitement des données personnelles. Des systèmes de guichets uniques ont été mis en place afin que DPC soit l’interlocuteur privilégié des entreprises autour de ce sujet-là.

L’ICCL souhaite que les institutions européennes réagissent au plus vite

D’après Johnny Ryan, chercheur principal de l’ICCL, « Cinq ans après l’entrée en vigueur du RGPD, les données montrent maintenant un échec flagrant dans l’application du GDPR – en particulier contre les Big Tech. Cet échec expose tout le monde à de graves dangers numériques : discrimination, manipulation, distorsion de l’information et IA invasive. Nous exhortons le commissaire européen à la justice, Didier Reynders, à enfin agir ».

En février 2023, l’ICCL avait obtenu en partie gain de cause auprès de la Commission européenne. En effet, la CNIL, la DPC, et tous ses homologues européens devront transmettre régulièrement des informations relatives aux enquêtes en cours autour du RGPD sur une base bimensuelle. Johnny Ryan avait exprimé sa joie en déclarant que « nous devrions assister à une accélération des enquêtes et de l’application de la loi ».