Et si le GDPR était menacé par le manque d’experts techniques au sein des DPA (Data Protection Authorities) européennes ? La question interpelle.

La fin du GDPR par manque de suivi, par manque d’experts ? L’éditeur du navigateur Brave le craint. Et demande à la Commission européenne de lancer une procédure d’infraction contre les gouvernements des États membres qui n’ont pas donné à leurs DPA (Data Protection Authorities) les «ressources humaines et financières nécessaires pour accomplir leurs tâches».

Au terme d’une étude inédite, Brave estime que la moitié des régulateurs européens de la protection des données ne disposent que de cinq experts techniques. Ce qui les rend incapables d’évaluer les plaintes GDPR. Ainsi, pour la Belgique, Brave compte 5 experts. Et 6 au Luxembourg. Par ailleurs, les régulateurs de 14 pays ont des budgets inférieurs à 5 millions EUR. 

«Si le GDPR risque d’échouer, la faute en incombe aux gouvernements nationaux, et non aux DPA», déclare Johnny Ryan, Chief Policy & Industry Relations Officer, Brave.

Que faire avec un budget inférieur à 10 millions EUR ?

L’Allemagne arrive en tête du nombre de spécialistes techniques. Elle emploie 101 experts, soit environ 13 % de l’effectif total de l’autorité. Notre voisin est  suivi par l’Espagne, la France et le Royaume-Uni.

Brave a noté que l’Espagne et la France emploient toutes deux plus de spécialistes que le Royaume-Uni, malgré le fait que leurs régulateurs aient un personnel total inférieur au tiers du DPA britannique. En effet, l’ICO (Information Commissioner’s Office) ne compte que 22 spécialistes techniques, soit 3% du personnel (680 collaborateurs). Et s’il dispose d’un budget de 61 millions EUR en 2020, la plupart des régulateurs de données de l’UE ont des budgets inférieurs à 10 millions EUR (Belgique : 9,6 millions).

Pouvoir enquêter correctement sur les Big Tech 

La charge de travail n’est pas la même pour tous les Etats. Ainsi, l’autorité irlandaise a la charge de travail la plus lourde. Ce qui s’explique par la présence des sièges sociaux de grandes entreprises technologiques telles que Facebook et Google. Avec 21 spécialistes, elle se classe cinquième en Europe…

«Les responsables de l’application du GDPR doivent être en mesure d’enquêter correctement sur les Big Tech , estime Johnny Ryan. Ils doivent pouvoir agir sans crainte de procédures d’appel vexatoires. Hélas, les gouvernements des pays européens ne leur ont pas donné les moyens de le faire.»

La DPA irlandaise a déclaré que son personnel est passé à 140 personnes; au terme de cette année, son effectif sera de 170 personnes. «Cette croissance du personnel doit se poursuivre au cours des prochaines années», a-t-elle déclaré.

Non-application de l’article 52, paragraphe 4, du Règlement

Les amendes les plus importantes à ce jour ont été imposées au Royaume-Uni. British Airways s’est vue infliger une amende de 183 millions de livres sterling. Et la chaîne d’hôtels Marriott 99 millions. L’an dernier, en France, la CNIL a condamné Google à une amende de 50 millions EUR en vertu de la nouvelle réglementation.

Aujourd’hui, en Belgique, on fait grand bruit de Proximus. Fin avril, l’opérateur historique s’est vu infliger une amende de 50.000 EUR par l’Autorité de Protection des Données. En cause, le non-respect de l’obligation de divulguer un conflit d’intérêts concernant le DPO…

Pour Brave, il y a de quoi sourire. Et d’appeler la Commission européenne à lancer une procédure d’infraction contre les gouvernements des États membres de l’UE pour non-application de l’article 52, paragraphe 4, du Règlement.

https://brave.com/wp-content/uploads/2020/04/Brave-2020-DPA-Report.pdf

https://vimeo.com/411726433