Connect with us

Technologie

L’organisme irlandais de surveillance des données appelle à des « mesures objectives » pour la réglementation des grandes technologies

Published

on


Le commissaire irlandais à la protection des données (DPC), qui est responsable de la réglementation des grandes entreprises technologiques ayant leur siège en Irlande, a appelé à des mesures objectives pour mesurer l’efficacité des régulateurs européens de la protection des données.

Les commentaires de la commissaire irlandaise à la protection des données, Helen Dixon, font suite à des plaintes selon lesquelles le DPC ne tient pas tête aux grandes entreprises technologiques, telles que Facebook et Microsoft.

Le Conseil irlandais pour les libertés civiles a fait valoir l’année dernière que l’Irlande n’avait pas pris de décisions sur les grandes entreprises technologiques, laissant l’application de l’Union européenne (UE) « paralysée ».

Cette semaine, la lanceuse d’alerte de Facebook, Frances Haugen, a déclaré à un comité parlementaire irlandais qu’il devrait y avoir un examen indépendant de la réglementation des grandes technologies par le DPC irlandais.

Dixon a utilisé son rapport annuel publié cette semaine pour faire valoir que les régulateurs de données de l’UE doivent convenir de mesures pour mesurer l’efficacité de l’application de la loi.

« Si l’objectif collectif de chacun d’entre nous est d’assurer une meilleure protection des personnes contre les utilisations abusives de leurs données personnelles et, en fait, de veiller à ce qu’elles ne soient pas désavantagées par une « mise en œuvre excessive du RGPD » [General Data Protection Regulation] , les types de mesures quantitatives et qualitatives qui doivent être évaluées doivent être soigneusement définis », a-t-elle déclaré.

« En outre, des priorités en matière d’application de la loi doivent être établies et l’impact des différentes mesures d’application et sanctions doit être suivi et analysé au fil du temps pour en déterminer l’impact et l’optimisation des ressources », a-t-elle ajouté.

« De telles mesures doivent, cependant, aller au-delà des exercices superficiels et des hypothèses selon lesquelles plus l’amende est élevée, plus le changement de comportement qu’elle annonce est important », a-t-elle écrit dans le document du DPC. Rapport annuel 2021.

L’application du RGPD risque d’être endommagée

Dixon a déclaré que « dans certains aspects au moins », le DPC doit faire mieux et qu’il serait bénéfique pour les régulateurs d’avoir une « compréhension commune » des mesures qu’ils suivent.

« En l’absence d’un ensemble convenu de mesures pour déterminer les réalisations ou les lacunes, le statut du régime d’application du RGPD en termes globaux risque d’être endommagé », a-t-elle déclaré.

Dixon a déclaré que c’était particulièrement le cas « lorsque certains types d’allégations » portées contre le DPC irlandais « ne servent qu’à obscurcir la véritable nature et l’étendue des défis » présentés par le cadre réglementaire de l’UE – qui exige des États membres qu’ils légifèrent pour l’application de la protection des données dans l’ensemble de l’UE.

« Nous opérons dans un environnement dans lequel, dans l’état actuel des choses, il n’existe aucune norme convenue pour mesurer l’impact et le succès (ou non) de nos interventions réglementaires », a déclaré M. Dixon.

Cela a créé un vide et « un récit a émergé dans lequel le nombre de cas, la quantité et le montant des amendes administratives imposées, sont traités comme la seule mesure du succès, éclairé par l’efficacité des sanctions financières » pour entraîner des changements de comportement.

Le Luxembourg et l’Irlande ont été cités en tête d’un classement pour les amendes dans l’UE, mais cela nous en dit peu sur l’efficacité de la réglementation dans le cadre du RGPD, a déclaré Dixon.

Les chiffres comparant le nombre d’affaires réglementaires transfrontières fournissent également peu d’informations significatives, car la complexité des décisions et les procédures d’enquête appliquées varient considérablement.

Dixon a déclaré que, par exemple, une décision du DPC « s’étendant sur plusieurs centaines de pages, touchant aux processus complexes des grandes organisations multinationales et ayant un impact sur des millions de personnes est mesurée côte à côte avec un traitement en deux lignes d’une question relativement simple qui a des ramifications minimales pour les personnes concernées en général ».

« Ce n’est clairement pas un moyen informatif de mesurer le succès (ou non) du RGPD », a-t-elle ajouté.

Le DPC travaille aux côtés d’autres autorités de protection des données pour convenir d’un ensemble de mesures permettant de mesurer les résultats réglementaires dans l’ensemble de l’UE « sur une base comparable », en vue de répondre aux questions sur l’efficacité des interventions réglementaires, a déploré Dixon.

Réglementer les grandes technologies

Dixon a déclaré qu’une grande partie des commentaires publics dans l’UE sur l’efficacité de la réglementation sur la protection des données étaient mis en regard des préoccupations concernant le contrôle exercé par les plateformes de médias sociaux à grande échelle.

En Europe, a-t-elle déclaré, « il ne fait aucun doute » que – même en tenant compte de ses imperfections – le RGPD continuera à fournir « le meilleur cadre disponible dans lequel les droits de protection des données des individus peuvent être défendus le plus efficacement ».

« Nous devons identifier, avec précision, les préjudices et les risques particuliers que nous cherchons à réduire et/ou à éliminer », a-t-elle déclaré.dded.

Dixon a déclaré que ce n’est pas le rôle du DPC ou de toute autorité de protection des données de cibler « toutes les manifestations » du pouvoir exercé par les plates-formes technologiques.

Le DPC a remis en question l’efficacité du « guichet unique » de l’UE qui permet aux entreprises technologiques d’être réglementées par l’autorité de protection des données d’un seul pays, plutôt que par plusieurs autorités de protection des données en Europe.

Elle a déclaré que le guichet unique avait rationalisé les défis réglementaires et administratifs auxquels étaient confrontées les entreprises technologiques, mais qu’il avait moins réussi à assurer une interprétation harmonisée du RGPD et à créer des conditions de concurrence équitables dans les États membres de l’UE.

M. Dixon a déclaré que toutes les activités des entreprises multinationales ne relevaient pas du champ d’application des accords de guichet unique, ce qui conduisait à des décisions de différents organes de surveillance de l’UE difficiles à concilier.

« Le fait qu’une si grande partie des activités transfrontalières puissent se situer en dehors du guichet unique remet en question l’efficacité des efforts de coordination qui devaient être une caractéristique de la réglementation des opérations de traitement transfrontalier », a-t-elle déclaré. « On peut également dire que cela sape l’idée centrale du RGPD – que des conditions de concurrence équitables pourraient être créées dans toute l’Europe. »

Enquêtes et décisions transfrontalières

À la fin de 2021, le DPC avait 30 enquêtes transfrontalières en cours, selon le rapport annuel.

Ils comprennent trois enquêtes en cours sur Facebook – maintenant connu sous le nom de Meta – examinant les violations de données, le traitement des données des enfants sur Instagram de Facebook et la base juridique sur laquelle Facebook s’appuie pour traiter les données personnelles.

Suite aux plaintes de l’avocat autrichien Max Schrems, le DPC sollicite des commentaires de Facebook sur la légalité des transferts de données de l’UE vers les États-Unis, ainsi que des commentaires sur la base juridique permettant à Instagram et WhatsApp de traiter des données personnelles.

D’autres enquêtes sont en cours auprès des entreprises technologiques – cela inclut Google sur son traitement des données de localisation, LinkedIn sur son traitement des données personnelles pour la publicité, ainsi que Apple, Twitter, Yahoo et TikTok.

Le DPC a reçu 10 888 requêtes et plaintes de particuliers en 2021, soit une augmentation de 7% par rapport aux chiffres de 2020, dont 8 017 avaient été conclus à la fin de l’année.

Dans une décision notable, la DPC a infligé une amende de 225m sur WhatsApp pour une série de manquements à la conformité en 2021.

Le DPC a soumis huit projets de décisions transfrontières à l’échelle de l’UE pour examen par d’autres autorités de protection des données entre mai 2018 et décembre 2021.

Bien que la plupart des autorités de protection des données aient approuvé les projets de décision de la DPC, l’Allemagne a déposé six objections, l’Italie et la Pologne cinq, les Pays-Bas et la France quatre.

Deux décisions ont été résolues, deux sont en attente de règlement des différends, et le DPC en envisage quatre qui ont des objections contre elles.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance