Journée de la protection des données : Les Européens sont-ils vraiment protégés ?
La Journée européenne de la protection des données le 28 janvier commémore la signature du premier cadre paneuropéen de protection des données (Convention108) en 1981. Aujourd'hui, 42 ans plus tard, le GDPR est considéré comme la loi centrale en matière de protection des données européennes et est censé permettre aux citoyens d'exercer leur droit fondamental à la vie privée. Initialement salué - et craint - comme une arme d'exécution, le GDPR est sur le point de subir le même sort que ses prédécesseurs en étant simplement ignoré.
L'application du GDPR n'existe qu'en théorie. Le GDPR vise à donner à tous les utilisateurs en Europe le contrôle de leurs données personnelles. Chacun a le droit de savoir quelles sont les données qu'une entreprise détient sur lui, comment elles sont traitées, et le droit de mettre fin à un traitement illégal. Dans la pratique, cependant, les utilisateurs ont été harcelés principalement par des bannières de cookies et des fenêtres pop-up qui ne laissent pas d'autre choix que de dire "oui". Les Européens qui ont tenté d'exercer leur droit à la protection des données ont souvent été amèrement déçus. noyb reçoit régulièrement des messages d'utilisateurs frustrés de toute l'Union européenne : les procédures sont retardées, les plaintes sont rejetées sans autre forme d'enquête par les autorités, ou sont carrément abandonnées. Les droits des utilisateurs finissent finalement à la poubelle.
Conflit entre la loi et les régulateurs. Le GDPR a été victime d'un manque d'application et de tactiques dilatoires de la part des grandes entreprises technologiques au cours des 4,5 dernières années. Même lorsque les autorités prennent des décisions et infligent des amendes aux entreprises, les affaires peuvent traîner pendant des années en raison des appels et de l'obstruction des entreprises technologiques. Même avec une pénalité élevée occasionnelle, enfreindre la loi est payant pour les "big tech". Alors que l'application du GDPR varie largement à travers l'Europe, même les autorités de protection des données les plus actives sont confrontées à des défis majeurs, car les cas transfrontaliers nécessitent une coopération entre les autorités (guichet unique).
Max Schrems, président de la noyb:"Même les autorités actives sont souvent désemparées, car l'application du GDPR est aussi forte que son maillon le plus faible."
>>> Cliquez sur l'image pour ouvrir le tableau complet dans un nouvel onglet
Obstacle à la mise en œuvre. Les autorités telles que l'autorité irlandaise de protection des données (DPC) sont un facteur critique lorsqu'il s'agit de la mise en œuvre du GDPR, car la majorité des entreprises technologiques américaines y ont leur siège européen. L'Irlande a longtemps été considérée comme un "goulot d'étranglement" dans l'application du GDPR à l'échelle de l'UE ; d'une part, en raison de la vitesse extrêmement lente avec laquelle les cas sont traités et, d'autre part, parce que l'autorité poursuit souvent une interprétation "favorable aux entreprises" de la loi :
Ce n'est qu'après que le Comité européen de protection des données (EDPB) a rendu une décision contraignante dans l'affaire noyb , vieille de 4 ,5 ans, sur le contournement du GDPR par Facebook que le CPD irlandais a pris des mesures. Il a annoncé une amende de 390 millions d'euros et a ordonné à Meta d'obtenir un consentement valide pour la publicité personnalisée consentement valide pour la publicité personnalisée. Au cours de ces 4,5 années, le CPD s'est souvent rangé du côté de Meta et a maintenant également émis une amende considérablement réduite. Les autres autorités ont dû à plusieurs reprises (à l'unanimité) passer outre le CPD.
Outre l'Irlande, le Luxembourg est connu pour accueillir le siège de grandes entreprises telles qu'Amazon, eBay et Paypal, ce qui confère à l'autorité luxembourgeoise un rôle crucial en tant que pouvoir réglementaire. Comme pour l'Irlande, la noyb attend depuis 2019 une décision dans le cadre d'une plainte concernant Amazonc'est pourquoi noyb doit maintenant engager une action en justice contre l'autorité.
Outre les "grands" pôles technologiques de l'UE, il existe également de nombreuses curiosités nationales. Par exemple, les autorités françaises et suédoises nient que les utilisateurs soient parties à la procédure. L'autorité bavaroise ne donne pas accès aux dossiers. L'autorité polonaise exige que les plaintes soient déposées sous forme numérique, mais n'autorise que la copie physique des fichiers à Varsovie. L'autorité autrichienne utilise une clause nationale pour clore des quantités massives de procédures parce que l'entreprise a prétendument résolu le problème. L'autorité bulgare ignore toute communication par courriel, téléphone ou courrier depuis des années. Les tribunaux allemands annulent les décisions des autorités, tandis qu'une action en justice contre l'autorité en Irlande peut rapidement coûter 100 000 euros.
764 plaintes n'ont pas fait l'objet d'une décision. Depuis l'entrée en vigueur du GDPR en mai 2018, noyb a déposé 848 plaintes individuelles auprès de différentes autorités de protection des données en Europe. Seuls 10 % (84 plaintes) des cas ont été décidés par les autorités compétentes, la plupart ayant été clôturés ou un accord ayant été trouvé avec l'entreprise car elle avait remédié à la violation. Certaines affaires n'ont été que partiellement tranchées. Environ 15 affaires sont actuellement devant les tribunaux nationaux parce que les autorités n'ont pas pris de décision dans le délai légal ou que noyb a fait appel de la décision.
En raison de l'inactivité des autorités et de l'absence de droit procédural, de nombreuses procédures sont transférées aux tribunaux nationaux, qui n'ont souvent pas les connaissances nécessaires sur le GDPR. Les décisions sont souvent annulées en raison d'erreurs de procédure évitables. Pour de nombreux utilisateurs, aller en justice n'est pas financièrement possible. Les cabinets d'avocats le savent et surchargent délibérément les autorités et les tribunaux avec des plaintes sans fin et des centaines de pages de soumissions.
Max Schrems :"Cette année, le GDPR sera applicable pendant cinq ans. Jusqu'à présent, de nombreuses entreprises réussissent à tricher pour s'en sortir, car il n'y a que peu d'application. Les promesses du GDPR de rendre la protection des données efficace et simple échouent en raison des autorités nationales des États membres, qui n'ont jusqu'à présent pas réussi à mettre en place une application efficace."
