Le DPC irlandais "traite" 99,93% des plaintes GDPR, sans décision ?

28 Avr 2021

Le CPD irlandais le reconnaît ouvertement : Il ne prend pas de décision concernant les plaintes relatives au GDPR. Au moins 99,93% ne voient pas de décision, malgré un financement de 19,1 millions d'euros.

Lors d'une audition assez étonnante devant la commission mixte de la justice du Parlement irlandais, la commissaire irlandaise à la protection des données (CPD), Helen Dixon, a reconnu pour la première fois publiquement ce que beaucoup soupçonnaient : Le régulateur irlandais ne statue pas sur les plaintes des citoyens - en violation du droit européen. En outre, la DPC a accusé les critiques d'"inexactitudes complètes", en grande partie sans préciser quelles étaient ces inexactitudes. Elle a également accusé d'autres autorités de protection des données d'avoir des raisons politiques de critiquer son bureau.

L'audition de deux heures(vidéo complète 1, vidéo 2 et vidéo 3) devant le Comité mixte sur la justice a été divisée en deux sessions, avec Max Schrems(noyb) et Fred Logue (FP Logue Solicitors) dans la première session, et Helen Dixon (DPC) et Johnny Ryan (ICCL) dans la deuxième session. Les témoins de la première session se sont largement accordés sur d'innombrables problèmes avec le DPC et ont souligné que la plupart des plaintes déposées devant le DPC ne font l'objet d'aucune décision - souvent pendant des années. Bien qu'il ait signalé plus de 10 000 plaintes en 2020, le CPD ne prévoit que six à sept décisions formelles en 2021, ce qui signifie que seulement 0,07 % de toutes les plaintes relatives au GDPR pourraient éventuellement faire l'objet d'une décision formelle. Cette "disparition" des plaintes a conduit M. Schrems à spéculer sur un "triangle des Bermudes" au CPD.

DPC : "Traiter" ne signifie pas "décider". Le miracle de longue date des plaintes GDPR "auto-résolues" a ensuite été levé par Helen Dixon : Le CPD interprète simplement le mot "traiter" comme signifiant que le CPD peut aussi simplement disposer des plaintes sur le droit fondamental à la vie privée. Elle a ouvertement fait valoir "En fait, la loi de 2018 n'oblige pas le CPD à produire une décision dans le cas d'une plainte."

Max Schrems, président de noyb :"Si vous disiez à votre patron que vous interprétiez "traiter" comme vous autorisant à jeter le travail à la poubelle, vous seriez probablement licencié. Au lieu de cela, le CPD a demandé une augmentation de son budget existant de 19,1 millions d'euros."

Un droit de décision clair dans le cadre du GDPR. Le droit à la protection des données est protégé par l'article 8 de la Charte des droits fondamentaux de l'UE. Les autorités nationales de protection des données (APD) sont chargées de faire respecter ce droit pour chaque utilisateur, gratuitement et dans un délai raisonnable. Le GDPR autorise même un recours devant la Cour lorsque"l'autorité ne donne pas suite à une plainte, rejette ou rejette partiellement ou totalement une plainte ou n'agit pas lorsqu'une telle action est nécessaire pour protéger les droits de la personne concernée." Cela a également été souligné par la Cour de justice dans une affaire récente impliquant M. Schrems et le CPD, mettant en évidence son devoir d'agir.

Gerard Rudden, Solicitor irlandais de noyb:"La Cour de justice a estimé que le CPD doit traiter une plainte avec toute la diligence requise. Quelle est la définition de 'traiter' par le CPH ? Peut-on ignorer quelque chose 'avec toute la diligence requise' ?"

Max Schrems :"Le droit européen exige un moyen facile et gratuit de faire valoir vos droits. Le DPC refuse désormais ouvertement ce droit à tous les citoyens européens. "

Accusations pointées sur le Parlement européen, les témoins et les autres DPC. La DPC a attaqué le Parlement européen pour avoir utilisé des informations inexactes lorsqu'elle a demandé une procédure d'infraction contre l'Irlande pour manque d'application du GDPR (voir la vidéo ci-dessous). Elle a également accusé d'autres témoins devant le Parlement irlandais d'"inexactitudes complètes", sans préciser davantage ce qu'elle jugeait inexact. M. Schrems a immédiatement envoyé une lettre ouverte au DPC et au comité mixte pour demander des éclaircissements sur ces accusations non spécifiques .

Mais la DPC ne s'est pas arrêtée là : Elle a également accusé d'autres autorités de protection des données d'invoquer des raisons politiques pour remettre en question l'inefficacité du CPD : "...les mêmes autorités de protection des données qui critiquent aujourd'hui l'Irlande et le guichet unique sont celles qui ont rejeté officiellement le concept de guichet unique...".Il n'est pas surprenant qu'il y ait un élément politique dans les critiques qui sont faites" Il semble douteux que ces commentaires contribuent à assurer une meilleure coopération européenne à l'avenir. On dit que Mme Dixon évite désormais la plupart des réunions de l'UE.