Des « insuffisances » dans l’application du RGPD par les géants de la Tech

internet

Le règlement général européen sur la protection des données personnelles (RGPD) n'est "pas suffisamment appliqué" contre les géants de la tech, a estimé vendredi le Contrôleur européen de la protection des données (CEPD), Wojciech Wiewiorowski. Lors d'une conférence à Bruxelles sur "l'avenir de la protection des données", le responsable a déploré que "trop souvent, le RGPD impose des contraintes aux petites entités mais épargne les grosses". Il a aussi souligné que "des individus attendent des années pour obtenir justice, même dans des petits dossiers simples". M. Wiewiorowski a mis en cause une "répartition inégale de l'effort" entre les pays européens pour faire appliquer le RGPD. Le règlement, entré en vigueur en mai 2018, a mis en place un système de "guichet unique" qui définit comme autorité "chef de file" celle du pays où se trouve l'établissement principal de l'entreprise. Ce qui met le régulateur irlandais en première ligne - des géants du numérique comme Meta, Google ou Twitter y ayant établi leur siège européen -, et aussi le Luxembourg, où Amazon est implanté.

Vers un modèle pan-européen d'application

Le Contrôleur européen s'est demandé s'il était "optimal d'attendre des résultats de la part d'une ou deux autorités (nationales) tandis que les autres sont moins impliquées".  Il s'est dit "convaincu (...) qu'à un moment donné, un modèle pan-européen d'application de la protection des données sera une étape nécessaire". "Un tel modèle permettrait non seulement d'atténuer le problème de la répartition inégale des responsabilités, mais aussi de garantir une réelle cohérence du droit de la protection des données dans l'ensemble de l'UE", a-t-il estimé, suggérant que des "enquêtes clés", sur les affaires transfrontalières les plus importantes, "pourraient être menées à un niveau central".    

La plus grosse amende prononcée jusqu'à présent pour non-respect du RGPD est celle de 746 millions d'euros infligée en 2021 à Amazon par le régulateur luxembourgeois. La deuxième est celle de 225 millions d'euros, contre WhatsApp, décidée par la Commission irlandaise de protection des données (CPC) en août 2021. Des recours ont été introduits contre ces décisions. En décembre 2020, la Cnil française avait quant à elle condamné Google à une amende de 100 millions d'euros et Amazon à 35 millions d'euros pour non-respect de la législation sur les "cookies", les traceurs publicitaires. En vertu du RGPD, les entreprises doivent demander le consentement des citoyens lorsqu'elles réclament leurs données personnelles, les informer de l'usage qui en sera fait et leur permettre de supprimer les données. Les manquements sont passibles d'une amende pouvant aller jusqu'à 4% du chiffre d'affaires mondial du groupe.

À lire aussi

Filtrer par