Les dossiers s’accumulent sur le bureau de l’autorité de protection des données (Data Protection Commission), qui est l’homologue de la CNIL en Irlande. Le 4 février 2020, l’institution a annoncé l’ouverture de deux enquêtes ciblant les entreprises américaines Google et Tinder pour de possibles infractions au Règlement général sur la protection des données (RGPD).
Dans le cas du géant du web, l’autorité irlandaise est préoccupée par la façon dont il traite les données de géolocalisation de ses utilisateurs, ainsi que le degré de transparence entourant ce processus. Ce sont également ces problématiques qui sont au cœur de l’enquête visant l’application spécialisée dans les rencontres, avec en plus une incertitude à propos du respect par l’entreprise de ses obligations pour permettre à ses usagers de faire valoir leurs droits.
La CNIL irlandaise face aux géants du net
La double enquête lancée début février par la DPC ne préjuge pas de la culpabilité de Tinder et de Google. Il s’agit de répondre à un certain nombre de plaintes provenant à la fois de l’Irlande et du reste de l’Union européenne, en vérifiant s’il existe une base légale pour les opérations mises en cause et si les dispositions contenues dans le RGPD sont pleinement respectées par les deux parties.
Depuis l’entrée en vigueur du RGPD, la DPC est en première ligne lorsqu’il s’agit de voir si les grandes entreprises américaines sont dans les clous de loi, parce que bon nombre de ces sociétés ont choisi l’Irlande comme quartier général pour leurs activités en Europe. C’est dans ce pays qu’on trouve par exemple les sièges de Google, Facebook, Microsoft ou encore Apple.
Le RGPD a introduit la notion d’autorité de contrôle chef de file, afin qu’il n’y en ait qu’une seule à la manœuvre — l’Union européenne est une force politique de 27 États membres, avec autant de CNIL nationales — et ainsi éviter la fragmentation des dossiers quand ceux-ci mêlent des traitements transfrontaliers, des individus venant de divers États membres et d’éventuelles appréciations différentes de la loi.
Parce que c’est dans son pays que bon nombre de grands groupes se sont installés, la DPC apparait de fait comme le point de contact unique pour lancer des enquêtes. La preuve : l’été dernier, Helen Dixon, la présidente de l’autorité, indiquait conduire 51 instructions de tout premier ordre, dont 17 portent sur une entreprise du numérique ou de la tech (dont Apple, Facebook, Instagram, LinkedIn, Twitter et WhatsApp).
Cela étant, la DPC n’est pas seule. Elle est épaulée par ses homologues, puisque le RGPD prévoit des mécanismes de coopération, d’assistance mutuelle et d’opérations conjointes. Potentiellement, Google et Tinder s’exposent à des sanctions financières pouvant atteindre au maximum 4 % de leur chiffre d’affaires annuel mondial, basé sur l’exercice précédent. Mais l’instruction n’en est qu’à ses débuts.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
