L’équivalent irlandais du CNIL est poursuivi en justice pour sa lenteur. Le Conseil irlandais pour les libertés civiles estime que l’organisme tarde trop à traiter l’une de ses plaintes remontant à 2018.

La Commission de protection des données irlandais (DPC) fait de nouveau parler d’elle pour sa lenteur. Cette fois, elle est poursuivie en justice, devant la Haute Cour, compétente pour les affaires civiles dans le pays. À la charge, le Conseil irlandais pour les libertés civiles, une association de défense des droits civils. Son fondateur, Johnny Ryan, reproche à la DPC la lenteur du traitement d’une plainte remontant à 2018 à l’encontre de l’IAB Europe et de Google.

Cette plainte avait été déposée à la suite de l’entrée en vigueur du RGPD. Elle concerne le système de Real-Time-Bidding utilisé par Google et l’IAB pour la vente de ciblage personnalisé des publicités en ligne. D'après Johnny Ryan, le fonctionnement de ce système nécessite de mobiliser des données personnelles sans autorisation et de les partager avec plusieurs acteurs sans avertir l’utilisateur. Selon l'association, cela entre en infraction avec plusieurs points du RGPD.

Mais trois ans et demi plus tard, cette plainte n’a pas réellement avancé. Johnny Ryan a déclaré : « Pendant 3 ans et demi, j’ai demandé à la Commission irlandaise de protection des données d’enquêter et d’agir sur la plus grande violation de données jamais enregistrée. Et elle ne l’a pas fait, ce qui fait que tous les européens ont été exposés à cette affaire. » En effet, selon la réglementation européenne, toute affaire relative au non-respect du droit européen par une entreprise doit être traitée dans le pays d’accueil du siège de ladite entreprise. Cette affaire concerne donc l’ensemble des citoyens européens. L’Irlande est connue pour héberger le siège européen de la majorité des géants de la tech, l’ensemble des citoyens européens a donc intérêt à ce qu’elle fasse correctement son travail.

Dans les faits, la DPC a ouvert une enquête formelle à l’encontre de Google en mai 2019 et en a informé Johnny Ryan. Cependant, il affirme que l’organisme a retiré le volet sécurité des données de son enquête, qu’il juge pourtant comme étant le plus important. Par ailleurs, la requête n’a pas été traitée dans un délai raisonnable. Elle n’a en revanche pas traité la plainte à l’encontre de l’IAB car le siège de ce dernier est situé en Belgique, et c’est donc au CNIL belge de traiter l’affaire. De ce côté, Johnny Ryan reproche à la DPC de ne pas avoir transmis sa plainte à la CNIL belge.

En réaction, Graham Doyle, commissaire adjoint de la DPC, a répondu ne pas avoir grand chose à dire à ce stade si ce n’est que l’enquête progresse. En novembre dernier la DPC avait également fait l’objet d’une plainte pour corruption par la figure européenne de la défense de la confidentialité des données, Max Schrems. Plusieurs gouvernements européens estiment que la DPC est responsable de l’application partielle du RGPD et espèrent revoir le système de guichet unique amenant toutes les plaintes à être traitées en Irlande.