Les autorités nationales ont décidément du travail avec le règlement général sur la protection des données (RGPD). Tandis que l'autorité irlandaise peine à boucler le cas transfrontalier de Twitter, le juriste autrichien Max Schrems accuse Google et Facebook de continuer à transférer illégalement des données personnelles vers les États-Unis malgré l'arrêt de la Cour de justice de l'UE.
De son côté, le Bureau européen des unions de consommateurs (BEUC) estime, dans une récente prise de position portant sur le RGPD, que « l'absence de procédures administratives contraignantes harmonisées pour traiter les plaintes transfrontalières et la lenteur des procédures ont un impact négatif sur la protection de millions de consommateurs à travers l'Europe ».
Le cas Twitter renvoyé au CEPD
L'autorité irlandaise de protection des données (DPC) planche actuellement sur une vingtaine d'affaires impliquant les géants de la tech, comme Apple, LinkedIn ou encore Facebook. Elle planifiait de boucler sa première affaire transfrontalière comme chef de file au début de l'année. Il s'agit ici de savoir si le réseau social Twitter a prévenu le régulateur dans les délais une fois le bug de son application - qui a eu pour effet de rendre publics une série de messages privés - détecté.
Mais une dépêche publiée par l'agence Reuters le 20 août a mis en lumière des dissensions avec les autres autorités nationales impliquées dans cette affaire ouverte en novembre 2018. Le commissaire adjoint de la DPC irlandaise, Graham Doyle, y reconnait qu'un « certain nombre d'objections ont été soulevées par les autorités de contrôle de l'UE », sans toutefois préciser si ces objections portent sur le fond ou sur le montant de l'amende.
Conformément à l'article 65 du règlement général sur la protection des données, l'affaire a donc été transmise au comité européen de la protection des données (CEPD), qui dispose désormais d'un mois pour atteindre une majorité des deux tiers. En cas d'échec, le comité pourra se prononcer à la majorité simple et si ce n'est toujours pas suffisant, il reviendra au président du comité de trancher.
Max Schrems repart au combat contre les transferts vers les USA
Un autre exemple a trait au transfert de données personnelles entre l'UE et les États-Unis, à la suite de l'arrêt de la Cour de justice de l'UE qui invalide le Privacy Shield (EUROPE 12529/2, 12536/9). Le juriste autrichien Max Schrems et son organisation NOYB ont indiqué à la mi-août avoir porté plainte contre 101 entreprises situées dans 30 pays de l'UE et de l'Espace économique européen (EEE), au motif qu'elles continuent d'envoyer des données à propos de chaque visiteur à Google et Facebook (via Google Analytics et Facebook Connect). L'organisation a également déposé plainte aux États-Unis contre Google et Facebook, qui continuent d'accepter ces transferts de données.
« Bien que nous comprenions que certaines choses peuvent nécessiter un certain temps pour se réorganiser, il est inacceptable que certains joueurs semblent simplement ignorer le plus haut tribunal européen », souligne le communiqué de NOYB, laissant entendre que l'organisation comptait durcir graduellement son action. (Sophie Petitjean)