Journée de la protection des données : 41 ans de "conformité sur papier" !

23 Jan 2022

Journée de la protection des données : 41 ans de "conformité sur papier" !

La Journée de la protection des données d'aujourd'hui marque la signature du premier cadre paneuropéen de protection des données (Convention 108) en 1981. En avançant rapidement de 41 ans, le GDPR est devenu le principal pilier de la protection des données européennes. Adopté en 2016 avec de grands espoirs, le GDPR est maintenant sur le point de succomber à une mort similaire à celle de nombreuses règles de protection des données auparavant. Elles existaient sur le papier, mais n'étaient guère appliquées dans la réalité.

La théorie de l'application européenne. En vertu du GDPR, toute personne en Europe a le droit de déposer une plainte auprès de son autorité de protection des données (APD), qui devrait à son tour faire respecter le droit fondamental des citoyens à la vie privée. Le site mécanisme de coopération "guichet unique" pour les affaires transnationales devrait permettre aux clients de voir leurs droits appliqués tout aussi efficacement lorsque leurs données sont traitées par une entreprise d'un autre État membre.

Le vide de l'application du GDPR. De nombreux citoyens qui ont essayé d'exercer leurs droits en vertu du GDPR sont déçus. Certaines autorités de protection des données ne traitent pas du tout les plaintes. Les procédures sont "oubliées" ou se perdent dans le système reliant les APD nationales. Dans de nombreux cas, il y a tout simplement un silence radio pendant des années. Même si les performances diffèrent fortement d'une APD à l'autre, noyb reçoit des messages similaires de citoyens frustrés dans toute l'UE. Après tout, le système est aussi fort que son maillon le plus faible.

Seulement 15 % des affaires traitées par noyb ont été tranchées dans un délai d'un an - aucune affaire paneuropéenne. Jusqu'à présent, noyb a déposé 51 plaintes individuelles auprès des APD en Europe. Seules six de ces plaintes ont fait l'objet d'une décision, trois autres ont fait l'objet d'une décision partielle. Il s'agissait dans tous les cas d'affaires purement nationales, pour lesquelles la coopération européenne n'était pas nécessaire. Jusqu'à ce jour, pas une seule affaire paneuropéenne n'a été tranchée dans le cadre du mécanisme de "guichet unique". Si certaines affaires ont été déposées récemment et peuvent nécessiter plus de temps, d'autres ont été déposées il y a plus d'un an. À ce jour, seules cinq de ces 34 affaires de longue date ont été entièrement tranchées. Cela signifie que 85 % de tous les cas datant de plus d'un an sont toujours en attente d'une décision. Certaines affaires ont été perdues entre les autorités. Dans d'autres cas, les autorités n'ont même pas répondu aux courriels ou aux appels téléphoniques. Les vainqueurs peu glorieux pour la plus longue durée sont quatre cas qui ont été déposés le 25.5.2018 sur le "consentement forcé". Après 3 ans et 8 mois, l'autorité "principale" irlandaise n'a toujours pas rendu de décision finale.

"Vous pouvez clairement voir que nous sommes généralement laissés sans réponse. Certaines autorités sont des boîtes noires. Il est impossible de comprendre ce qu'il advient de nos plaintes. Si les affaires nationales donnent quelques résultats, nous n'avons pas vu une seule décision dès lors que différents États membres ont dû travailler ensemble dans le cadre du mécanisme de "guichet unique". Cet aperçu montre à quel point l'application des droits fondamentaux européens peut être frustrante, inefficace et compliquée."- romain Robert, directeur de programme chez noyb.

À l'occasion de la "journée de la confidentialité des données" d'aujourd'hui, noyb a publié une liste des 51 plaintes "individuelles" qu'elle a déposées depuis l'entrée en vigueur du GDPR :

Overview of noyb's GDPR complaints with DPAs
>>> En cliquant sur l'image, le tableau complet s'ouvrira dans un nouvel onglet

Deux vagues, 523 plaintes, une décision. noyb a déposé deux séries de "plaintes parallèles" qui peuvent être plus difficiles pour les APD, mais leur permettent aussi de rationaliser le processus de décision. Sur les 101 plaintes déposées en août 2020 concernant les transferts de données entre l'UE et les États-Unis, après un an et demi, une affaire concernant Google Analytics a fait l'objet d'une décision partielle (1 %). Les 422 autres plaintes déposées en août 2021 concernant les bannières de cookies n'ont pas fait l'objet d'une seule décision à ce jour. Dans de nombreux cas, il semble n'y avoir guère plus qu'une confirmation de la réception de la plainte.

Les institutions européennes expriment des préoccupations similaires. Le Parlement européen a exprimé ses préoccupations quant au niveau insuffisant de l'application du GDPR et la Commission a même averti de faire pression pour une approche plus centralisée si des améliorations n'étaient pas apportées. Une conférence du CEPD sur la question, prévue en juin, ne laisse aucun doute sur le fait que l'année 2022 sera centrée sur l'application du GDPR

"Nous espérons que cette vue d'ensemble sur nos plaintes favorisera les discussions qui devraient avoir lieu cette année. Nous pensons que l'inclusion de cas concrets dans l'analyse peut ajouter à la liste des problèmes d'application déjà identifiés" - Romain Robert, directeur de programme chez noyb

Focus sur l'exécution et les droits procéduraux L'expérience des trois dernières années et demie signifie que le rôle de noyb en tant qu'organisme d'application du GDPR est devenu encore plus pertinent. En plus de se concentrer sur les poursuites judiciaires contre les régulateurs qui ne traitent pas les plaintes dans un délai raisonnable, noyb s'engagera également dans des actions directes contre les entreprises, y compris par le biais d'actions collectives - même si cela est généralement beaucoup plus coûteux. Alors que la directive sur les recours collectifs sera mise en œuvre dans tous les États membres d'ici la fin de 2022, noyb est déjà officiellement qualifiée pour entamer actions représentatives en Belgique. Avec PrivacyFirst, nous avons également financé la fondation "CUIC" (Consumers United In Court) aux Pays-Bas pour qu'elle puisse intenter des actions similaires.

"Malgré notre insatisfaction quant à l'application de la loi, noyb continue à soutenir les APD et les plaignants intéressés par une meilleure application de la loi. 41 ans après la convention, nous devons tous travailler ensemble pour faire de la vie privée une réalité." - Romain Robert, directeur de programme chez noyb.

C'est dans cet esprit que la Commissionnoyb vous souhaite à tous une bonne journée de la protection des données !