Accusée de laxisme, la Cnil irlandaise, principal régulateur du RGPD, défend son bilan

La Data Protection Commission, l'autorité irlandaise en charge de la protection des données personnelles, a infligé cinq amendes à Meta en 2022, pour un total supérieur à un milliard d'euros.

Jérôme Marin

Publié le 7 mars 2023 à 11h14

Dix-sept enquêtes “d’envergure” et plus d'un milliard d'euros d'amende. La Data Protection Commission veut couper court aux critiques, qui l'accusent régulièrement de laxisme dans l'application de règles européennes, notamment du Règlement général sur la protection des données. La Cnil irlandaise est le principal régulateur des grands groupes Internet dans l'Union européenne, en raison de la présence dans le pays de leur siège continental.

“Les faits répondent aux critiques”, assure Helen Dixon, la directrice de la DPC, qui a publié mardi 7 mars son rapport annuel. “Deux-tiers des amendes infligées en Europe ont été émises par la DPC après des enquêtes détaillées”, poursuit la dirigeante.

Sur les dix-sept enquêtes “d’envergure” conclues en 2022, cinq concernaient Meta, la maison-mère de Facebook, Instagram et WhatsApp. Celles-ci ont débouché sur cinq amendes pour un montant total de 1,1 milliard d’euros. Également ciblés par la DPC, Twitter et Airbnb ont récolté de simples réprimandes. Les autres enquêtes se sont traduites, en cumulé, par moins de 600 000 euros d'amende.

La DPC sous pression

La DPC indique que 22 enquêtes “d’envergure” sont encore en cours d’instruction. Deux d'entre elles visent TikTok, l'une sur le traitement des données personnelles des enfants et l'autre sur les transferts de données vers la Chine. Les conclusions préliminaires seront “bientôt” partagées avec l’application de courtes vidéos, explique Helen Dixon. Elles seront ensuite soumises aux autres Cnil européennes.

Sans le formuler directement, la dirigeante de la DPC a également émis un avertissement à Twitter, à qui elle reproche d'avoir "rompu" les communications depuis son rachat pour 44 milliards de dollars par Elon Musk. Le réseau social à l'oiseau bleu vient notamment de lancer son abonnement payant Blue en Europe sans avoir consulté le régulateur irlandais pour s’assurer du bon respect des données personnelles des utilisateurs européens.

Malgré ce bilan présenté comme positif, la DPC se sait sous pression. En janvier, elle a été désavouée par ses homologues européennes sur les pratiques publicitaires de Facebook, qu’elle avait initialement jugées conformes aux règles européennes. Cet été, la Commission européenne doit également présenter un projet de réforme pour améliorer la mise en application du RGPD en Europe. Celui-ci pourrait déboucher sur un rôle moins central pour la DPC.