La Data Protection Commission (DPC), l’autorité irlandaise de la protection des données vient de conclure une enquête autour des agissements d’Airbnb. L’équivalent de la CNIL en Irlande a décidé d’adresser un simple rappel à l’ordre à l’entreprise américaine, le 20 juillet dernier.

Airbnb ne respecte pas le RGPD, la DPC (ne) sévit (pas)

Airbnb était suspectée de ne pas avoir respecté plusieurs points du règlement général sur la protection des données (RGPD). À cet égard, la DPC avait décidé courant 2022 de mener une enquête autour de la multinationale afin de clarifier la situation. Après plus d’un an d’investigation, le régulateur a estimé qu’Airbnb avait bien enfreint le RGPD, notamment en n’invitant pas les utilisateurs à fournir une copie de leur pièce d’identité dans le cadre du processus de vérification d’identité proposé sur le site.

Outre ce manquement, d’autres infractions ont été identifiées. La DPC considère que Airbnb ne fournissait pas aux personnes se plaignant de sa plateforme, un accès à toutes les données personnelles possédées par la firme. Le RGPD prévoit pourtant que les plaignants aient le droit d’obtenir « un dossier d’accès d’une forme concise, transparente, intelligente et facilement accessible, » comme le précise la DPC dans son communiqué.

Malgré le caractère avéré de ces fautes, le régulateur n’a pas été si sévère. Il a seulement adressé une ordonnance à Airbnb, pour qu’elle puisse « réviser ses politiques et procédures internes ». À cela, l’entreprise a reçu « une réprimande » comme le précise la décision publiée par l’autorité irlandaise.

Le laxisme de la DPC pourtant décrié depuis plusieurs mois

Pour certains, la CNIL irlandaise serait beaucoup trop laxiste vis-à-vis des manquements des géants technologiques. En mai dernier, l’Irish Council for Civil Liberties (ICCL) avait fustigé la DPC. L’association de défense des libertés publiques pointait du doigt le laxisme de ses mesures et de ses sanctions. Depuis 2018, seules huit procédures menées par le régulateur auraient mené à une sanction, et quarante-six d’entre elles ont abouti à un accord à l’amiable. En France, la CNIL a sanctionné sept fois plus d’entreprises sur la même période.

Des chiffres surprenants puisque la DPC se voit souvent attribuer les affaires les plus importantes, celles qui pourraient généralement aboutir à une sanction. En vertu du guichet unique au sein de l’Union européenne, seule l’autorité nationale de la protection des données du pays où se situe le siège social européen d’une entreprise est autorisée à la sanctionner si elle ne respecte pas le RGPD.

Avec les simples mesures correctives adressées à Airbnb, la DPC ne fait pas plaisir à ses détracteurs. Elle sera d’ailleurs obligée, conformément à la directive prise en février dernier, de fournir trimestriellement aux institutions européennes, un rapport de ses activités passées, en cours, ou futures.