Suède : Les utilisateurs ne sont pas parties à leurs propres droits en matière de protection de la vie privée ?
L'autorité suédoise de protection des données (IMY) refuse de prendre une décision sur une plainte relative au GDPR, au motif que l'utilisateur n'est pas partie à ses propres droits. En substance, l'IMY semble considérer que le "droit de plainte" prévu par l'article 77 du GDPR, qui devrait donner à chacun un libre accès à l'application de la loi, n'est qu'un droit de "pétition" auprès de l'autorité. noyb dépose aujourd'hui un recours auprès du tribunal administratif de Stockholm.
Un mois sous GDPR se transforme en trois ans dans la réalité. En vertu du GDPR, chacun a le droit d'accéder à ses données, y compris une copie de toutes les données et une explication de l'utilisation des données. Le délai légal pour répondre à une demande d'accès est d'un mois. En 2019, dans le cadre d'un projet sur les sociétés de streaming, noyb a également déposé une plainte contre Spotify pour une réponse incomplète à une demande d'accès. La plainte, déposée en Autriche, a été transmise à l'IMY suédois, qui est responsable de Spotify. Depuis lors, l'affaire n'a pas été tranchée. Au lieu de cela, l'autorité suédoise de protection des données affirme avoir mené une enquête plus large sur Spotify - depuis plus de trois ans. L'utilisateur concerné attend cependant toujours de recevoir toutes les informations pertinentes
Demande de décision rejetée. Selon la loi suédoise, une partie peut demander une décision dans un délai de quatre semaines, si une autorité n'a pas pris de décision dans les six mois. En juin 2022, noyb a envoyé une telle demande à l'IMY suédois. Étonnamment, l'IMY suédois a rejeté la demande au motif que la personne concernée ne faisait pas partie de la procédure concernant son droit d'accès.
"Imaginez que vous n'êtes pas une partie dans une affaire concernant votre permis de construire ou votre droit à la liberté d'expression. L'idée que nous avons un droit fondamental à la protection des données dans l'UE, mais qu'en Suède vous ne pouvez pas le faire appliquer est tout simplement hallucinante. Le GDPR est clair : vous avez le droit de déposer une plainte et de faire appel si aucune décision n'est prise." - Max Schrems, président de noyb.eu
L'inactivité administrative devenant arbitraire. La situation que rencontre la personne concernée est donc paradoxale. Tant le GDPR que le droit autrichien attribuent au plaignant le rôle de partie à la procédure contentieuse. Cependant, lorsque la procédure est envoyée à une autre autorité principale en vertu du GDPR, ces garanties semblent s'évanouir dans la réalité. Selon l'interprétation du droit suédois par IMY, le plaignant n'a aucune possibilité de participer à la procédure ou de faire valoir ses droits. Par conséquent, les bureaucrates décideraient de manière tout à fait arbitraire si les gens peuvent faire respecter leurs droits ou non - sans aucun recours si l'IMY n'a pas envie de faire son travail.
"En fin de compte, l'IMY affirme qu'elle peut tout simplement ignorer les droits des Européens en vertu du GDPR. Ce n'est ni ce que dit le GDPR, ni ce qu'exige l'État de droit." - Max Schrems, président de noyb.eu
Recours contre l'inaction de l'APD. Pour ces raisons, noyb a décidé d'introduire un recours contre la décision de l'IMY. En résumé, l'appel rejette l'idée qu'une personne concernée ne fait pas partie d'une procédure sur ses propres droits. Si l'affaire aboutit, l'AIM devra faire respecter les droits des utilisateurs comme le prévoit le GDPR.