You are currently viewing La problématique “Dublination” de la protection de nos données personnelles

La problématique “Dublination” de la protection de nos données personnelles

L'Irlande est de facto devenue la protectrice des données des citoyens européens face aux géants du numérique. 
La république insulaire se montre cependant inefficace, voire complaisante dans l’exercice de cette fonction.

 

  • Le système Dublin du RGPD : une répartition du contrôle des traitements de données transfrontaliers

Chaque État de l’UE possède aujourd’hui une “CNIL”, chargée de protéger les données des personnes résidant sur leur territoire conformément au  RGPD 1. Or, les GAFAM en Europe opèrent des traitements de données dits “transfrontaliers”, c’est-à-dire impliquant un transfert de ces données vers d’autres États.

Pour ces situations, l’Union européenne a créé un mécanisme de guichet unique, sorte de système de Dublin des données. La responsabilité principale du contrôle de ces traitements revient alors à une seule autorité, celle du pays où se situe l’établissement principal de l’entité contrôlée. 

Cette autorité “chef de file” est donc chargée d’enquêter, et d’émettre un projet de décision avant validation par les autres CNIL concernées.

 

  • L’autorité de contrôle irlandaise est responsable du contrôle du traitement des données de la plupart des citoyens européens

En l’espèce, Google, Apple, Facebook, Microsoft et beaucoup d’autres ont leur établissement principal en Irlande. C’est donc l’autorité irlandaise (la Data Protection Commission abrégée en DPC), qui est chargée de contrôler les traitements de données effectués par ces entreprises dans toute l’UE.

Selon l’ONG Irish Council for civil Liberties, 20% des plaintes européennes pour violation du RGPD sont ainsi adressées à la DPC depuis 2018. À titre de comparaison, le pays ne compte que pour 1% de la population de l’Union.

 

  • L’autorité de contrôle irlandaise se montre inefficace et indulgente 

De mai 2018 à mai 2021, la DPC a ainsi été chargée de 164 enquêtes transfrontières, qui semblent pourtant n’être menées qu’avec une hâte toute relative. Début octobre 2021, ce faramineux contentieux n’aura entraîné que 3 projets de décision et une seule décision définitive.

Quant à cette unique décision définitive, c’est uniquement sous la pression des autres autorités européennes que la DPC s’est vue forcée d’infliger une sanction conséquente à WhatsApp en septembre 2021. 

 

Crédit image : Irish Council for Civil Liberties

 

Le système de protection des données des citoyens européens s’avère donc très inégal. l’Irlande en est aujourd’hui le maillon faible : un gendarme pour l’instant surchargé, lent et timide face aux géants du numérique. Faute de volonté politique irlandaise et de moyens, ce désastreux constat ne pourra qu’empirer.

À quand une protection uniforme des citoyens européens ?

 

Par Martin Deloy

 

  1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, article 51 ; CJUE, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, ECLI:EU:C:2020:559, point 147

A propos de Martin Deloy