Le Règlement général sur la protection des données (RGPD) a 5 ans ! Entrée en vigueur le 25 mai 2018, cette réglementation encadre le traitement des données personnelles dans l’Union européenne. L’autrichien Max Schrems, interrogé par Le Monde, a considéré que ce texte était « un standard mondial », avec plus de 70 pays ayant adopté des textes similaires. À n’en pas douter, il est devenu une référence mondiale dans le domaine de la protection des données. Depuis son entrée en vigueur les Etats membres ont infligé plus de 2 milliards d’amendes aux GAFAM, mais il faut noter qu’au fil du temps, on constate que plusieurs pays de l’UE ont tendance à revoir leurs procédures de sanctions et à infliger des amendes plus modestes, probablement pour traiter plus facilement les plaintes et surtout pour s’assurer que les amendes seront bien appliquées. Cela ressort parfaitement du tableau ci-dessous :

Montants estimés des amendes en Europe

• 2018 : 458 000 euros
• 2019 : 73 millions d’euros
• 2020 : 171 millions d’euros
• 2021 : 1,1 milliard d’euros
• 2022 : 841 millions d’euros

Montants estimés des amendes en France

• 2018 : 0 euro
• 2019 : 51,1 millions d’euros
• 2020 : 3,3 millions d’euros
• 2021 : 3,7 millions d’euros
• 2022 : 25,2 millions d’euros

Source : Enforcement Tracker/Le Monde

Bien entendu, ces montants restent conséquents mais ils ne sont pas dissuasifs pour les grandes plateformes du numérique, pour lesquelles ces sanctions sont tout à fait abordables et supportables. Max Schrems fait lui aussi ce constat et il le dit :
« Aujourd’hui, ce qui doit encore devenir une réalité, c’est la mise en application. » Les autorités commencent à sévir et à réellement user de leur pouvoir dissuasif, mais on ne va pas assez loin.

Une vaste étude menée par l’Irish Council for civil Liberties (iCCL) – une ONG de défense des libertés publiques – publiée le 15 mai dernier, confirme ce que nous savons depuis très longtemps :  l’application du RGPD de façon rigoureuse reste problématique en Irlande.

Si le régulateur compétent au regard du RGPD, est celui du pays où l’entreprise a son siège social… Peu de GAFAM ont le leur en Europe, hormis en Irlande… La France par exemple peut superviser Critéo ou IBM, l’Allemagne AKamaï ou Palantir, mais la CNIL irlandaise reste le pays européen qui accueille la plupart des géants mondiaux du Web  Alphabet (YouTube – Google,) Meta (Facebook, Instagram, WathsApp), Apple et Microsoft et gère donc environ 20% des dossiers qui font l’objet d’une plainte.

L’Irlande a donc un vrai pouvoir de régulation mais elle ne met pas beaucoup d’énergie au traitement des litiges qui lui sont soumis.  Sur 17 enquêtes conclues en 2022, 5 concernaient Meta et elles ont abouti à des condamnations à des amendes pour un montant global de 1,1 milliard d’euros. Twitter (dont le siège social est à Dublin) n’a pas été condamné mais simplement « réprimandé ». L’Irlande est le seul régulateur européen à avoir conclu très souvent à des « accords amiables » c’est une procédure tout à fait légale mais qui évidemment aboutit à des condamnations de compromis avec des montants beaucoup plus faibles que ceux qui auraient dû être prononcés. 

La Data Protection Commission (DPC) irlandaise équivalent de la CNIL en France se défend évidemment des nombreuses accusations de laxisme dont elle fait l’objet, mais les faits sont têtus et les décisions irlandaises ont été invalidées dans les ¾ des dossiers qui lui ont été confiés par le Comité Européen de la Protection des Données (CEPD). C’est cet organe qui a le pouvoir d’imposer aux autorités nationales de revoir les décisions qu’elles ont prises lorsqu’il les estime non conformes à la gravité des faits reprochés. C’est dans ce cadre que Meta en début d’année a été condamnée à une amende record de 390 millions d’euros par le régulateur irlandais, qui avait dû reconsidérer sa position après que la CEPD ait refusé de valider une première sanction qui lui avait été infligée par la DPC d’un montant environ dix fois inférieur à la condamnation qui a finalement été fixée…

L’Irlande avec son environnement fiscal très avantageux a pu attirer la plupart des sociétés multinationales du numérique qui ont pu implanter leurs sièges sociaux par ce biais en Europe. Sa politique économique la rend donc très dépendante des plateformes qu’elle soutient et dont elle tente par tous les moyens mis à sa disposition de défendre les intérêts. Malgré l’accord de l’OCDE qui permet de garantir un taux d’imposition minimum de 15 % aux entreprises multinationales à compter de 2023 qu’elle a signé le 7 octobre 2021, l’Irlande reste encore un pays très accueillant pour les plateformes. 

 Cet accord de l’OCDE est censé cibler notamment les GAFAM en les privant d’un paradis fiscal, mais les géants du Web, ont trouvé un autre intérêt pour maintenir leur siège en Irlande : le RGPD.  Ce règlement européen sur la protection des données prévoyant qu’un organisme établi dans l’UE doit avoir pour seule interlocutrice, l’autorité du pays où est situé son « établissement principal », l’Irlande est donc devenue tout naturellement le « guichet unique » pour gérer les contentieux relatifs aux données personnelles de ces sociétés internationales du numérique, ce qui leur permet de bénéficier d’un traitement complaisant des enquêtes et plaintes dont elles font l’objet.  Autrement dit, la situation s’est bien sûr améliorée, il faut quand même le souligner, mais le constat reste malheureusement le même : l’Irlande reste le maillon faible du RGPD et de l’harmonisation fiscale en Europe. Dans le même registre, il faudra surveiller les conditions d’application des DSA, DMA.

Colette Bouckaert
Secrétaire général de l’iDFRights