Mi-décembre 2020, la Commission irlandaise de protection des données a infligé une amende de 450 000 euros à Twitter pour violation de la réglementation sur la protection des données personnelles. Il s’agit de la première mesure d’application du règlement RGPD et le premier jugement en Irlande contre une grande entreprise technologique. Dans le cadre du processus de règlement des différends, l’Office européen de protection des données (EDPB) a émis de fortes objections, relayées par d’autres régulateurs européens, sur le périmètre d’application du règlement et sur le montant de l’amende.
Une amende dérisoire selon les régulateurs européens
L’amende de 135 000 à 275 000 euros initialement proposée par la Commission irlandaise de la protection des données, estimée entre 0,25 et 0,5% du montant le plus élevé imposable aux organisations pour violation du règlement sur la protection des données personnelles, a été jugée trop faible par de nombreux régulateurs. Les autorités allemandes, hongroises, italiennes et autrichiennes lui ont reproché d’être disproportionnée et de ne représenter qu’entre 0,005 et 0,01% du chiffre d’affaires annuel de Twitter. Les autorités autrichiennes ont demandé que l’amende s’élève à au moins 1% du chiffre d’affaires annuel de Twitter, et les autorités allemandes ont proposé une amende comprise entre 7 348 035 et 22 044 105 euros sur la base de leurs propres calculs.
Malgré les désapprobations exprimées par les organismes de réglementation et la mise en place d’un processus valide pour contester la décision finale de l’EDPB, il semble que l’amende ne sera pas modifiée, aucune des autorités n’ayant en définitive l’intention de faire appel.
Le manque de contrôle du Comité européen de la protection des données sur la décision irlandaise
Le professeur Johannes Caspar, chargé de la protection des données et de la liberté de l’information à Hambourg, a sévèrement critiqué l’instance de régulation irlandaise sur le fait qu’elle avait maintenu sa décision au dépend de l’avis du Comité européen de la protection des données. Il a fait valoir qu’en se concentrant uniquement sur la violation de l’obligation de notification, de l’article 33 du RGPD, d’autres infractions potentielles n’ont pas été prises en compte. Selon lui, l’harmonisation de l’application du RGPD ne sera jamais effective si cette manière d’examiner les décisions futures dans les procédures de règlement des différends doit devenir la norme.
Le Professeur Caspar a également commenté le montant de l’amende et déclaré que l’application de la réglementation étant double, les sanctions au niveau national pourraient être élevées alors qu’une application transfrontalière est « au mieux symbolique ». Malgré ses critiques, il a déclaré le 7 janvier dernier, qu’il ne fera pas appel à la décision.
D’autres organismes de réglementation ont décidé de renvoyer cette question au Comité européen de la protection des données, mais aucun n’a laissé entendre qu’ils prévoyaient de faire appel. Matthias Schmidl, directeur adjoint de l’Autorité autrichienne de la protection des données, a déclaré que cette décision montre à la fois les avantages du processus de règlement des différends et sa limite. Cette procédure est, selon lui, d’une « pertinence pratique et peut être invoquée si un consensus entre les autorités de protection des données (DPA) ne peut être atteint. »
Un porte-parole du Comité européen de la protection des données a précisé que bon nombre de plaintes émanant d’autres organismes de réglementation ne répondaient pas aux critères de l’« objection raisonnée et pertinente » énoncée dans le RGPD ni des Lignes directrices du Comité européen de la protection des données. Par conséquent, elles ne pouvaient pas, en tant que telles, être utilisées pour persuader l’Autorité irlandaise de modifier sa décision, le seul argument restant ne concernant que le montant de l’amende.