Le GDPR est appliqué de manière inadéquate depuis des années. Malgré 3 813 plaintes, seules 62 amendes ont été infligées en Autriche en 2024. La situation pourrait même empirer : dans sa dernière lettre d'informationl'Autorité de protection des données (DSB) a annoncé de nouvelles restrictions de ses activités. La raison en est d'importantes réductions budgétaires malgré une charge de travail croissante due à un éventail de tâches qui ne cesse de s'élargir. Dans le même temps, les sanctions prévues par le GDPR pourraient générer des revenus importants pour l'Autriche. Les organisations de protection des données epicenter.works et noyb mettent en garde contre les conséquences dévastatrices d'une telle restriction du droit fondamental à la protection des données pour tous les Autrichiens. Les deux ONG vont donc déposer une plainte contre la République d'Autriche auprès de la Commission européenne.
- Plainte auprès de la Commission européenne
- Lettre d'information de l'autorité autrichienne de protection des données
DSB : économiser de l'argent au lieu de faire respecter la loi ? Le gouvernement fédéral autrichien semble vouloir mettre en pièces l'autorité indépendante de protection des données (DSB) afin de réaliser des économies. C'est ce qui ressort d'une lettre d'information publiée par l'ORD, dans laquelle il annonce une restriction de ses activités. L'ORD est déjà extrêmement sous-financé par rapport aux autres pays de l'UE. L'Allemagne, par exemple, dépense environ deux fois plus par habitant pour ses autorités de protection des données que l'Autriche. Toutefois, conformément à l'article 52, paragraphe 4, du GDPR, l'Autriche est tenue de fournir un financement suffisant à l'ORD. Cette obligation prévue par la législation européenne est manifestement violée.
Des stagiaires pour défendre les droits fondamentaux ? L'ORD n'ayant déjà pas pu obtenir suffisamment de postes permanents de fonctionnaires, il s'est contenté d'une vingtaine de stagiaires administratifs. Ceux-ci sont légalement considérés comme des "dépenses matérielles" et doivent être licenciés au bout de 12 mois. Il en résulte une perte constante d'expertise et d'énormes coûts de formation continue.
Moins de personnel pour plus de travail. Jusqu'à présent, l'ORD a dû faire respecter les droits de protection des données de 9 millions de personnes avec seulement 53 employés et 19 stagiaires administratifs (en 2024). C'était déjà pratiquement impossible. Cependant, l'ORD a récemment annoncé que son budget pour 2026 avait été à nouveau réduit, malgré l'augmentation des coûts et de la charge de travail. En conséquence, l'autorité de protection des données ne sera pas en mesure de remplacer la plupart de ses quelque 20 stagiaires administratifs, ce qui entraînera une diminution rapide de ses effectifs déjà précaires. Dans le même temps, l'ORD est confronté à un nombre croissant de tâches gigantesques en raison de la loi sur la liberté de l'information, de l'intelligence artificielle, du ciblage dans la publicité politique et de la directive sur l'amélioration des conditions de travail dans les plateformes.
Moins de procédures, moins d'avis. Il est particulièrement grave qu'à l'avenir, l'ORD n'émette des avis sur des projets de législation que dans des cas exceptionnels. Cependant, compte tenu de la numérisation croissante, de plus en plus de propositions législatives ont un lien évident avec la protection des données. Sans la voix compétente de l'autorité, il n'y aura pas d'impulsion clé pour une législation conforme aux droits fondamentaux. En outre, l'ORD a clairement indiqué qu'il n'ouvrirait une procédure d'office que si une communication externe "indique un soupçon suffisamment concret de violation grave du GDPR ou de la DSG" En d'autres termes, l'ORD n'enquêtera plus sur les entreprises de sa propre initiative.
Sebastian Kneidinger d'Epicenter.works souligne : la protection des données est omniprésente. Presque toutes les lois touchent aux droits numériques fondamentaux et doivent donc être correctement rédigées en termes de qualité. Le gouvernement devrait le savoir. Faire des économies sur la protection des données, c'est perdre le cap pour l'avenir. Cela se traduira par des lois moins bonnes dans le pays et laissera le champ libre aux multinationales"
Des procédures encore plus longues et une perte de sécurité juridique. L'ORD a l'intention de se concentrer sur le traitement des plaintes, car il s'agit d'une obligation. Mais même dans ce domaine, l'autorité s'attend à de nouveaux retards, alors que les procédures durent déjà, dans la plupart des cas, beaucoup plus longtemps que le délai légal de six mois. De nombreuses affaires traînent pendant des années - et restent ensuite pendant des années devant la Cour administrative fédérale (BVwG), également surchargée. Pour que le BVwG puisse réellement traiter une affaire, il est presque toujours nécessaire de faire d'abord appel à la Cour administrative suprême.
Max Schrems du noyb met en garde : "Les droits fondamentaux ne valent rien s'ils n'existent que sur le papier. Nous avons aujourd'hui une autorité qui fonctionne en mode d'urgence et des tribunaux qui laissent régulièrement des affaires en suspens sans instructions spécifiques de la plus haute juridiction. Cette situation est tout à fait indigne d'un État de droit. Si l'ORD imposait des amendes appropriées, ce serait une vache à lait pour l'Autriche. Une amende contre Google couvrirait à elle seule la part de l'Autriche dans le tunnel de base du Brenner, qui s'élève à 6 milliards"
epicenter.works et noyb déposent une plainte auprès de la Commission européenne. À la lumière de ce qui précède, epicenter.works et noyb noyb et epicenter.works vont déposer une plainte auprès de la Commission européenne. La Commission européenne a ensuite la possibilité d'engager une procédure d'infraction à l'encontre de l'Autriche.
