Cinq ans après l'introduction par l'UE d'une loi monumentale sur la protection des données afin de contrôler les grandes technologies, le régulateur irlandais en est le principal exécuteur. Les critiques disent que cela aide à expliquer pourquoi la régulation échoue.
Dublin est au centre du régime du Règlement général sur la protection des données (RGPD) car la ville abrite les sièges européens de sociétés telles que Google, Meta, Twitter et TikTok.
La régulation est un défi direct aux modèles d'affaires de ces entreprises, qui recueillent des données personnelles pour créer les algorithmes qui servent du contenu et des publicités à leurs utilisateurs.
Et son application est un défi pour l'Irlande, qui a courtisé les grandes technologies avec des incitations fiscales généreuses.
Même si la 19e plus grande nation de l'UE est de loin le plus grand émetteur de sanctions RGPD du bloc -- ayant infligé à Meta une amende record de 1,2 milliard d'euros le mois dernier -- les critiques disent que l'application du RGPD est une blague et que l'Irlande en est le principal bouffon.
"L'échec de l'Europe à appliquer le RGPD expose tout le monde à un risque aigu à l'ère numérique", a écrit Johnny Ryan de l'Union irlandaise des libertés civiles dans un rapport marquant les cinq ans du RGPD.
Il a déclaré que l'Europe pouvait difficilement prétendre être une superpuissance régulatrice si elle ne pouvait même pas faire respecter ses propres lois.
Amende imposée en vertu du règlement général sur la protection des données de l'UE :
Enchevêtrement de confusion
Le RGPD, qui est entré en vigueur il y a cinq ans ce jeudi, est censé protéger les Européens contre l'utilisation abusive de leurs données par les entreprises et les institutions publiques.
La loi stipule que les citoyens doivent consentir aux façons dont leurs données sont utilisées.
Le RGPD est appliqué par les agences nationales de protection des données (DPAs).
Cependant, des critiques comme Ryan, le militant autrichien Max Schrems, et une série de groupes de défense des droits numériques disent que les affaires peuvent prendre des années à résoudre, que les punitions sont rarement assez sévères et que les citoyens ont peu de droits à participer.
Les DPAs, selon les critiques, sont soit mal financées, mal formées, assujetties aux grandes entreprises, largement inactives ou non réactives.
Chacune a ses propres règles et pratiques et alors que l'Allemagne dépense plus de 100 millions d'euros par an pour ses agences, la Roumanie à peine dépasse le million d'euros.
Cela conduit à une application inégale et à un enchevêtrement de confusion quant à leur rôle - la Commission irlandaise de protection des données (DPC) est au centre de tout cela.
Des défis prudents
Même l'énorme amende infligée par la DPC à Meta a tourné à la petite farce lorsque l'agence irlandaise a déclaré que d'autres organismes européens lui avaient ordonné de le faire.
La CNIL française faisait partie des quatre agences à exiger une action plus énergique.
"La CNIL est très attentive à contester, dans le meilleur sens du terme, les propositions de la DPC", a déclaré à l'AFP la directrice de la CNIL, Marie-Laure Denis, lors d'une interview.
Et cela a empiré - Schrems, qui avait porté l'affaire contre Meta, a détaillé comment il a dû se battre pendant une décennie pour obtenir une enquête de l'Irlande.
La DPC irlandaise essaie généralement d'éviter d'infliger des amendes ou même d'enquêter du tout, préférant plutôt se reposer sur des "procédures amiables" pour résoudre les affaires.
Cette approche douce a conduit l'organe central de l'UE, le Comité Européen de Protection des Données (EDPB), à outrepasser la DPC irlandaise dans la plupart de ses cas au niveau de l'UE - un pouvoir qu'il utilise presque jamais contre qui que ce soit d'autre.
L'expert juridique Ray Friel de l'Université de Limerick a dit à l'AFP que l'EDPB voulait utiliser des amendes lourdes "pour faire réagir ces entreprises".
Mais la DPC irlandaise s'était davantage concentrée sur la "réhabilitation".
La DPC n'a pas immédiatement répondu à une demande de commentaire de l'AFP.
Graphique montrant les amendes infligées par pays en vertu du RGPD de l'UE :
Fin du secret
L'approche de l'Irlande est en décalage avec la rhétorique dure émanant de la Commission européenne, qui se positionne comme un défenseur du peuple contre les grands intérêts corporatistes.
Le bras exécutif de l'UE a défendu les DPAs par le passé, mais le commissaire à la Justice, Didier Reynders, a annoncé plus tôt cette année qu'une réforme était en cours.
Il a promis de renforcer la supervision des DPAs et a en outre proposé une loi pour régir la manière dont les DPAs travaillent entre elles.
Les activistes incitent la commission à être audacieuse.
Estelle Masse, responsable législative Europe de l'ONG de droits numériques Access Now, a appelé à mettre fin au secret, à accorder plus de droits aux individus et à fixer des délais clairs pour la résolution des plaintes.
"Nos droits fondamentaux sont en jeu, il est scandaleux que nous ayons dû attendre des années pour que les violations soient résolues", a-t-elle écrit dans un rapport récent.
Mais Schrems est loin d'être optimiste quant à la capacité de la commission à saisir l'opportunité.
Il a dit que Bruxelles proposait en réalité de réduire la capacité des individus à participer.
"Il semble que la commission estime que moins on parle aux parties, moins on parle aux gens, plus la procédure devient efficace", a-t-il dit, ajoutant que cela "n'est pas vrai".
Par Joseph Boyle et Jules Bonnard avec Callum Paton à Dublin. Graphiques par Julia Han Janicki et Sophie Ramis
Sur le même sujet
L'annuaire 
