Dans l'arrêt C-416/23, l'autorité autrichienne de protection des données (DSB) a reçu un camouflet de la part de la CJUE. L'autorité a - arbitrairement - fixé le nombre de plaintes que les personnes concernées peuvent déposer à un maximum de deux par mois, même si l'on est affecté par des violations du GDPR presque quotidiennement. La CJUE a maintenant clarifié les choses : tant que vous ne déposez pas de plaintes abusives, tous les utilisateurs ont le droit de faire réparer toute violation du GDPR par l'ORD. Malheureusement, le fait que les autorités de protection des données tentent de se débarrasser des plaintes n'est pas seulement un problème autrichien. Nos chiffres montrent que l'inactivité des autorités de protection des données est un problème qui touche l'ensemble de l'Union européenne.
Renvoi et désistement en masse. Depuis des années, l'ORD a mis au point diverses "techniques" pour abandonner autant que possible les procédures engagées contre les entreprises. Par exemple, les personnes concernées sont souvent menacées d'un classement sans suite après chaque déclaration d'une entreprise, si elles ne s'y opposent pas dans un délai de deux semaines. L'ORD met également fin à des procédures à grande échelle si une entreprise (après des années de litige) se conforme au GDPR à la dernière minute. La dernière "astuce" consistait à limiter le nombre de plaintes à deux par mois, alors que les utilisateurs sont parfois affectés par des violations du GDPR toutes les heures. Cette "astuce" a été annulée par la CJUE après qu'un citoyen a intenté une action contre l'ORD qui a été portée jusqu'à la CJUE - mais les autres moyens de se débarrasser des plaintes sont toujours utilisés.
Max Schrems : "Les droits fondamentaux existent toujours, pas seulement deux fois par mois. Si l'ORD sanctionnait systématiquement les violations, il y aurait moins de plaintes. Au lieu de cela, l'autorité utilise diverses techniques pour se débarrasser des plaignants. Les entreprises ont appris qu'il n'y a pas de conséquences. Grâce à diverses astuces procédurales, une grande partie des plaintes sont évitées - et les entreprises continuent allègrement à enfreindre la loi"
Seules 1,36 % des procédures aboutissent à une amende. L'ORD indique actuellement que en 2023, il a mené 4 030 procédures (2 389 plaintes nationales, 876 plaintes transfrontalières et 765 procédures d'office). Cependant, seules 55 amendes ont été imposées au cours de l'année entière. Cela signifie que statistiquement, seulement 1,36 % de toutes les procédures se terminent par une amende. À titre de comparaison : 8.34 millions d'amendes routières ont été émises en Autriche en 2021. En 2023, aux heures de pointe, plus de 7 000 amendes pour des e-scooters mal garés ont été émises par mois à Vienne à Vienne. Statistiquement, il faudrait 127 ans à l'ORD pour émettre ces 7 000 amendes. Cependant, de nombreuses violations du GDPR sont aussi insignifiantes que les infractions au stationnement. Les demandes des utilisateurs ne sont tout simplement pas traitées, le consentement n'est pas obtenu ou les données ne sont pas supprimées.
Max Schrems : "En période de pointe, jusqu'à 7 000 amendes mensuelles ont été émises rien qu'à Vienne pour des scooters électriques stationnés illégalement. En revanche, l'autorité chargée de la protection des données n'a infligé que 55 sanctions en 2023. Le contrevenant moyen a plus à craindre que les entreprises qui utilisent abusivement des données personnelles par millions. Dans plus de 98 % des cas soumis à l'ORD, aucune sanction n'est imposée. Les entreprises qui respectent la loi ont l'air stupide"
Un problème qui n'est pas seulement autrichien. Ce problème n'est pas propre à l'Autriche, mais concerne les autorités chargées de la protection des données dans toute l'Europe. En 2022 (dernière année pour laquelle on dispose de chiffres à l'échelle de l'UE), toutes les autorités européennes de protection des données ont engagé un total de 140 106 procédures, mais n'ont infligé que 1819 amendes aux entreprises. Cela signifie que dans seulement 1,3 % des cas, les conséquences ont été graves. Cela montre clairement qu'il existe un problème à l'échelle de l'UE concernant l'inactivité des autorités de protection des données et les procédures qui traînent en longueur.
Max Schrems : "Nous constatons que les autorités chargées de la protection des données n'agissent pas vraiment dans l'ensemble de l'UE. La Cour de justice leur a dit à plusieurs reprises qu'elles devaient se ressaisir, mais les statistiques ne le reflètent pas"
Les procédures prennent des années - au lieu de mois. Selon le § 73 AVG, l'ORD doit statuer dans un délai de 6 mois. En réalité, les procédures durent presque toujours beaucoup plus longtemps. Par exemple, 3 ans pour une décision sur un cookie illégal n'est pas une exception. Les statistiques de l statistiques du noyb pour l'Autriche montrent que dans de nombreux cas, il faut attendre bien plus de 6 mois pour obtenir une décision. Les recours devant la Cour administrative fédérale prennent également plusieurs années au lieu des six mois prévus par la loi. Par conséquent, l'application de la loi en Autriche n'est en aucun cas conforme à la législation européenne.
Max Schrems : "Je n'ai jamais vu une procédure devant l'ORD qui ait été tranchée dans les délais légaux. Au lieu des six mois prévus, nous parlons souvent de trois ans ou plus, même dans le cas d'affaires tout à fait triviales telles qu'une bannière de cookies illégale. L'ORD est structurellement incapable de faire respecter la loi de manière efficace"
Des problèmes de budget ? Une amende de Google permettrait de financer le tunnel de base du Brenner. L'autorité autrichienne de protection des données (DSB) demande un budget plus élevé depuis des années. Depuis 2020, les de 43 à 60 personnes. L'État aurait tout intérêt à fournir les ressources nécessaires : l'ORD n'est pas seulement directement responsable des entreprises autrichiennes, mais aussi de nombreuses sociétés internationales, dont Google USA. Une seule pénalité imposée à Google pourrait s'élever à 6 milliards d'euros, c'est-à-dire plus que la part de l'Autriche dans le montant total des amendes soit plus que la part de l'Autriche dans le tunnel de base du Brenner ou qu'une bonne partie de la dette de l'Union européenne Ou une bonne partie du déficit budgétaire actuel de 15 à 23 milliards d'euros.
Max Schrems : "Si l'ORD sortait enfin de sa torpeur et recevait un budget décent pour le faire, cela pourrait rapidement porter ses fruits. Une pénalité GDPR contre Google, par exemple, représente plus que notre part du tunnel de base du Brenner - juste pour vous donner une idée de l'ampleur. Mais l'ORD doit aussi devenir plus efficace. On ne peut pas demander un budget plus important et continuer à ne pas traiter les affaires de manière structurelle"
