les 5 ans du GDPR : Les autorités nationales déçoivent le législateur européen. 85% des cas de noyb ne sont pas décidés.
Le 25 mai 2018, le GDPR est entré en vigueur. Si le contenu des règles de l'UE en matière de protection des données est resté en grande partie le même, le grand changement présumé a été l'application stricte du GDPR. 5 ans plus tard, les autorités et les tribunaux nationaux laissent largement le législateur européen en plan - malgré un budget de plus de 330 millions d'euros en 2022.
le noyb propose les ressources suivantes à l'occasion de ce cinquième anniversaire :
- Des données détaillées données détaillées sur les plus de 800 cas de GDPR traités par noyble rapport de la Commission européenne sur le GDPR, qui montre que plus de 85 % de tous les cas de noyb ne sont pas résolus - 470 plaintes attendent une décision depuis plus d'un an et demi
- noyb's "Carte des pièges du GDPR"avec un grand nombre de questions de procédures nationales à parcourir
- des "profils de pays" avec des questions spécifiques en Autriche, Belgique, France, Francegrèce (EN/ GR), Irlande, Italie, Luxembourgpays-Bas (EN/ NL), Pologne et Espagne
- Notre site web avec une proposition de règlement sur les procédures GDPR qui pourrait résoudre une grande partie des problèmes liés à l'application du GDPR
L'amende de 1,2 milliard d'euros infligée par Meta est un exemple de l'inefficacité de la mise en œuvre. Si une amende de 1,2 milliard d'euros (stratégiquement retardée jusqu'à la semaine des "cinq ans du GDPR") peut faire les gros titres, elle reflète en réalité l'inefficacité de l'application de la législation. Non seulement il a fallu plus de dix ans au CPD pour rendre une première décision (qui fera maintenant l'objet d'un appel), mais l'affaire a également obligé Max Schrems à engager trois procédures judiciaires contre le CPD irlandais pour l'obliger à faire son travail. La Cour de justice de l'UE (CJUE) et l'EDPB ont notamment demandé à trois reprises à la DPC irlandaise de de traiter efficacement l'affaire. Le coût de ce litige est estimé à plus de 10 millions d'euros.
Conflit entre la législation européenne et les pratiques nationales. Le GDPR a été adopté par le Parlement européen à une majorité de 96 %, tous les États membres sauf un ont soutenu la loi. Cependant, les législateurs nationaux et les pratiques nationales se sont heurtés peu après. Presque tous les États membres ont trouvé une astuce ou une question de procédure pour affaiblir le GDPR. Cela va de l'ajout de concepts tels qu'un "seuil" pour les violations de la vie privée, à l'idée que "traiter" une plainte peut également signifier la mettre à la poubelle. D'autres exemples montrent que les autorités françaises ou suédoises considèrent qu'un plaignant n'est pas partie à leur propre procédure, tandis qu'en Pologne, les autorités exigent que vous vous rendiez à Varsovie pour prendre des photos de votre dossier à l'aide de votre téléphone portable. Nous avons dressé un aperçu de la situation dans notre "Carte des pièges du GDPR"afin de montrer quelques-uns des pièges auxquels les citoyens ordinaires sont confrontés.
Max Schrems, président de noyb.eu : "Le GDPR a bénéficié d'un soutien politique très fort. Cinq ans après son entrée en vigueur, nous constatons une forte résistance de la part des autorités et des tribunaux à faire appliquer la loi. Le législateur s'est exprimé, mais les tribunaux et les autorités nationales trouvent constamment de nouveaux moyens de ne pas l'écouter. On a souvent l'impression que l'on consacre plus d'énergie à saper le GDPR qu'à s'y conformer. Si les entreprises savent que l'Irlande est la juridiction de prédilection en cas de non-application, il n'y a guère de juridiction de prédilection pour les citoyens, car des problèmes d'application se posent dans pratiquement tous les États membres "
Des retards systématiques. Alors qu'une amende exceptionnelle fait la une des journaux internationaux, la base de données beaucoup plus importante de noybmontre que les autorités de protection des données (DPA) n'appliquent généralement pas le GDPR en temps voulu. Sur les plus de 800 dossiers déposés par noyb au cours de l'année écoulée, 85,9 % n'ont pas été tranchésle GDPR exige pourtant des entreprises qu'elles se conforment aux demandes dans un délai d'un mois, alors que les lois nationales exigent souvent des décisions dans un délai de 3 à 6 mois.
Max Schrems : "Dans de nombreuses juridictions, vous obtenez une décision au bout de deux ans au mieux - si tant est que vous obteniez une décision. Cette pratique est tout simplement à mille lieues de l'intention du législateur, qui souhaitait disposer d'un moyen libre et facile de se plaindre. Nous perdons la plupart de notre temps à courir après les gestionnaires de dossiers, les dossiers et les autorités
L'absence de procédures et de décisions juridiques appropriées. Outre les longs délais, les affaires classées ont été en grande partie réglées ou retirées par les parties (environ 6 % dans le cas de noyb) ou ont connu une autre issue (3,4 %), comme le départ de l'entreprise du marché de l'UE. Dans seulement 3,9 % des cas, la DPA a pris une décision juridique.
Max Schrems : "De nombreuses autorités font tout pour éviter de prendre une décision. Elles se contentent souvent de "clore" les dossiers sans prendre de décision ou de négocier avec les entreprises, en les suppliant de bien vouloir se conformer à la loi. Iln'y a pratiquement pas de sanction directe pour une violation directe de la loi "
Les entreprises ont appris à ignorer le GDPR. Alors que le secteur avait initialement piqué une crise à propos du GDPR et de ses amendes élevées, les dernières années ont montré que cet effet dissuasif s'est rapidement dissipé. La réalité montre que le législateur n'a pas pu se contenter de légiférer sur une culture de l'application. Le GDPR est souvent devenu un simple tigre de papier.
Max Schrems : "Laréalité a montré que l'UE n'a pas été en mesure de légiférer sur une 'culture de l'application'. Les entreprises les plus agressives ont rapidement compris que les conséquences n'existaient en grande partie que sur le papier et ont poursuivi leurs modèles d'entreprise. Derrière les portes closes, les entreprises sont très ouvertes sur le fait qu'elles ne craignent pas du tout les autorités. Ce sont surtout les entreprises déjà raisonnables qui ont investi dans la mise en conformité"
Appel à l'harmonisation et à l'application. Alors que nous célébrons le cinquième anniversaire du GDPR, il est urgent que les autorités passent à la vitesse supérieure et adoptent une culture d'application sérieuse. L'idée de la Commission européenne d'adopter un règlement de procédure de l'UE pourrait également y contribuer. Cependant, un tel règlement législatif devrait être exhaustif pour résoudre les nombreux problèmes liés aux procédures actuelles. De nombreux États membres peuvent également améliorer leurs procédures. Nous avons dressé la liste des problèmes les plus courants dans certains pays : Autriche, Belgique, France, Francegrèce (EN/ GR), Irlande, L'Italie, Luxembourgpays-Bas (EN/ NL), Pologne et L'Espagne.
Max Schrems : "Après cinq ans, le temps des conseils et des périodes de grâce est clairement révolu. S'il n'y a pas de dissuasion générale, les autorités risquent de perdre à nouveau le contrôle de la situation. La Commission européenne a proposé un nouveau règlement pour régler les questions de procédure.Desrègles de procédure claires sont une bonne idée, mais elles doivent être complètes pour résoudre réellement le problème"
Action civile requise et recours collectif. Rien qu'en 2023, près de 2 milliards d'euros d'amendes ont été imposés à Meta grâce aux efforts diligents et aux actions en justice de noyb, ce qui rend l'action civile plus pertinente que jamais. Avec l'introduction imminente de la directive européenne sur les recours collectifs, les utilisateurs auront la possibilité de regrouper leurs efforts en matière de litiges par le biais d'actions collectives. Cette approche permet non seulement de contourner le recours aux accords de protection des données, mais elle peut également avoir un effet dissuasif plus important que les amendes prévues par le GDPR, qui sont en grande partie théoriques Que les amendes du GDPR qui sont largement théoriques.