Ayant opté pour un régime fiscal particulièrement favorable aux sociétés privées, l'Irlande est devenue le siège social européen des principales entreprises américaines. De son côté, des ONG avancent que cela expliquerait ce pourquoi son autorité de protection des données personnelles serait si laxiste envers les GAFAM. Celle-ci vient pour l'occasion de remporter un prix symbolique.
La Data Protection Commission (DPC) irlandaise vient de se voir attribuer un Big Brother Awards (BBA) « pour l'ensemble de son oeuvre » par un jury allemand composé de membres de l'ONG Digitalcourage, des hackers du Chaos Computer Club, de la Ligue internationale des droits de l'homme, de l'Association allemande pour la protection des données, et d'autres organisations.
Les BBA récompensent les entreprises et administrations s'étant illustrées par leur impact négatif sur la protection de la vie privée. Le jury, en l'espèce, a voulu récompenser ce qu'il qualifie de « sabotage continu des efforts visant à faire respecter la législation européenne sur la protection des données » :
« Et comme cette autorité de contrôle de la protection des données en Irlande le fait avec tant de méthode, depuis tant d'années et avec une telle créativité kafkaïenne, la catégorie "Government and Administration" ne suffira pas. Ce pourquoi nous lui attribuons un prix "Lifetime Achievement". »
Il lui reproche en effet d'agir avec « des années de retard », d'opposer « un refus de facto de traiter les plaintes », de multiplier les « ruses bureaucratiques », d'appliquer des « coûts dissuasifs pour les plaignants » et de faire montre d' « un manque de coopération avec les collègues européens » :
« La chef de la Commission, Helen Dixon, agit de manière erratique et réagit agressivement aux critiques. La Commission qu'elle dirige ne laisse aller nulle part la législation européenne sur la protection des données, face à ceux qui ont le plus besoin d'un contrôle strict : Google, Facebook, Apple, Microsoft, etc. »
Le RGPD a un problème : l'Irlande
Les BBA rappellent en effet que depuis mai 2018, de lourdes amendes pouvant aller jusqu'à 4 % du chiffre d'affaires mondial de l'entreprise peuvent sanctionner celles qui ne respectent pas le Règlement général sur la protection des données :
« Mais malheureusement, nous nous réjouissons trop vite : il ne suffit pas de promulguer une loi européenne, il faut aussi qu'elle soit appliquée dans chaque État européen. Et il y a un problème : l'Irlande. »
Les entreprises dépendent en effet de l'autorité de protection des données du pays où elles ont installé leur siège social, qui devient le gardien des plaintes dont elles feraient l'objet. La règle dite du « guichet unique » prévoit que la surveillance de la mise en œuvre et du respect du RGPD d'une entreprise dépend d'un seul pays de l'UE :
« Si des citoyens ou des organisations décident de porter plainte contre le traitement de données d'une entreprise, ils soumettent la plainte à l'autorité de protection des données de leur propre pays, qui la transmettra ensuite à l'autorité responsable du siège européen de l'entreprise. »
L'objectif était aussi de regrouper autour d'une seule et même autorité les différentes plaintes visant une seule et même entreprise, facilitant d'autant la compréhension de son environnement, de ses pratiques et de ses éventuelles malfaçons, tout en espérant une application harmonieuse du RGPD :
« Mais il y a un hic : les grandes entreprises numériques avec leurs actifs immatériels sont plutôt flexibles dans le choix de leur siège social. C'est pourquoi ils chercheront leur autorité de protection des données préférée et ouvriront leur prétendu siège social dans ce pays. »
De fait, l'Irlande a été choisie pour accueillir les sièges sociaux européens de Google, Apple, Facebook et WhatsApp, Microsoft et LinkedIn, Adobe, Tiktok, Airbnb, Tinder, Twitter, Dropbox, Yahoo, etc.
Elles peuvent y profiter d'un régime d'imposition réduit particulièrement favorable aux entreprises privées, ce qui a attiré nombre d'entreprises américaines, contribuant à faire de ce pays ce que d'aucuns qualifient de « paradis fiscal », et dont l'économie repose en bonne partie sur cette manne financière émanant d'entreprises sises aux États-Unis. Nous y reviendrons.
Le QG improbable du gardien européen de la vie privée
Les BBA relèvent que « l'importance accordée par l'Irlande à la protection des données devient étonnamment claire en regardant le bâtiment principal de la Commission irlandaise de protection des données », à Portarlington, une petite bourgade de 8 400 habitants située à 80 kilomètres de Dublin, qu'elle partage avec une supérette Spar.
Sur Street View, on remarque en outre que si elle a depuis été repeinte, jusqu'en 2019, la devanture de la DPC était clairement défraichie, et laissait à désirer. Pas de quoi briller en tant que principal gardien des données personnelles des citoyens européens vis-à-vis des « Big Tech » américaines.
La DPC a certes depuis ouvert une annexe au 21 Fitzwilliam Square à Dublin mais, ironisent les BBA, « cela n'a pas été fait en réponse à une importance accrue de la protection des données dans l'UE, mais - pour citer un porte-parole de la Commission - pour "faciliter l'interaction" avec les entreprises basées dans la capitale » :
« Nous comprenons que cette question est à l'étude et pensons qu'un tel sous-bureau serait utile pour faciliter l'interaction avec les organisations à Dublin, en particulier les grandes organisations multinationales. »
À l'époque, en 2014, Quartz avait de son côté qualifié le siège de la DPC de « lieu improbable pour ce qui est devenu l'un des bureaux les plus importants de la vie privée à l'échelle mondiale ».
Le nombre d'employés de la DPC venait de passer de 22 à 30, et son budget de 1,5 à 2 millions d'euros. Signe de la montée en puissance de l'institution, son rapport annuel 2021 précise que le nombre de ses agents est depuis passé de 145 à 190 en 2020, avec un objectif de 260 à l'horizon 2022. Son budget, lui était de 19,1 millions en 2021.
Quartz relevait également que si les entreprises américaines étaient venues s'installer en Irlande pour ses avantages fiscaux, ils avaient aussi et surtout choisi d'y rester pour son interprétation de la règlementation, qui était déjà critiquée par les ONG de défense de la vie privée.
« L'autorité irlandaise est à des kilomètres des autres autorités européennes de protection des données dans sa compréhension de la loi », déplorait à l'époque Max Schrems, qui avait décidé de porter plainte contre la DPC, à défaut de pouvoir le faire contre Facebook.
Des effectifs passés de 22 à 190, sans résultats
Les BBA reprochent aujourd'hui à la DPC le fait qu'elle « met tout en œuvre pour ne pas trahir la confiance que lui accorde la Big Tech. Et pour cela, ils sont devenus plutôt créatifs », précisent-ils, avant d'énumérer leurs nombreux griefs.
Sa « stratégie principale » consisterait à ne pas traiter les plaintes dont elle est instruite :
« Quelques chiffres à titre d'illustration : depuis l'entrée en vigueur du RGPD en 2018, le commissaire fédéral allemand à la protection des données et à la liberté d'information, Ulrich Kelber, a transmis environ 50 cas au DPC en tant qu'autorité responsable - la plupart d'entre eux étaient des cas contre WhatsApp. Sur ces 50 affaires, pas une seule n'a abouti à une décision sur le fond. »
La loi voudrait pourtant que « les plaintes doivent être traitées "sans délai" », relèvent les BBA. Sauf que la DPC « fait actuellement valoir devant la Haute Cour d'Irlande que quatre ans de délai de traitement pourraient encore être considérés comme "sans délai"... » :
« L'autorité de protection des données explique ce retard en pointant un manque de personnel et de moyens. Mais les autorités équivalentes dans les grands États comme l'Espagne ou la France ont un budget tout aussi petit, mais elles font publier plusieurs décisions par jour – les Irlandais ne peuvent en gérer que quelques-unes par an. »
Pour les BBA, « ce n'est donc pas une question d'argent mais d'efficacité ». Ils se félicitent à ce titre de l'augmentation des effectifs, mais déplorent de constater, dans le même temps, « malheureusement sans amélioration des résultats ».
De plus, si « les autorités d'autres pays ont proposé leur aide il y a des années », Helen Dixon, sa présidente, « a rejeté toutes ces offres ».
Conneries statistiques, relations publiques et tactique du chantage
Sa « deuxième tactique » consisterait à « répandre des conneries statistiques » (« spread statistical bullshit », en VO) : « La Commission semble consacrer beaucoup d'énergie aux relations publiques et aux rapports d'activité annuels joliment formatés, pour faire bonne figure de leur inaction ».
La DPC avait ainsi été saisie, l'an passé, d'environ 10 000 « cas ». Mais son rapport annuel 2021 mentionne « 7 469 requêtes et 3 419 plaintes » :
« Voilà l'astuce : tout ce qui n'est pas explicitement étiqueté "plainte" est classé comme une "enquête". Les demandes finissent à la poubelle. C'est une manière évidente de "traiter" et de "conclure" l'affaire : les Américains appellent cela un dossier circulaire, que l'on traite en le renommant pour le supprimer. »
« Troisième tactique » documentée par les BBA : « Exclure les plaignants de la procédure », via « de nombreuses astuces », à commencer par « la tactique du chantage », consistant à demander au plaignant de signer un accord de non-divulgation (NDA) afin de l'obliger à « garder le silence sur les négociations, leurs résultats et toute information apportée au cours du processus » :
« C'est ce qui est arrivé à Johnny Ryan du Conseil irlandais pour les libertés civiles dans son affaire contre les enchères en temps réel de Google pour l'espace publicitaire. C'est aussi arrivé à Max Schrems de noyb ("none of your business") dans son procès contre Facebook. Après avoir refusé de signer "son" NDA, Max Schrems a été exclu de son propre dossier. Cela va à l'encontre de tous les droits fondamentaux dans l'UE. »
Procédures administratives parallèles et procès (trop) coûteux
La DPC userait également de ce que les BBA qualifient de « méthode de contournement », en lançant une « procédure administrative » parallèle sur la plainte dont elle a été instruite :
« Dès lors, seule la procédure administrative avancera – et pendant ce temps, la plainte initiale est stoppée. Une fois la procédure administrative terminée, l'autre procédure est également terminée, car la question est maintenant réglée ! Félicitations - une manière vraiment élégante d'exclure les citoyens de leurs propres cas. »
Les BBA évoquent enfin une autre méthode, surnommée « poursuivez-moi si vous en avez les moyens ». Le fait d'engager une procédure judiciaire en cas d'inaction de la DPC est en effet « une entreprise si coûteuse que pour la plupart des citoyens privés, c'est hors de question ».
Circonstance aggravante : la procédure irlandaise est telle qu'il n'est pas possible de mentionner tel paragraphe de tel article de telle loi : « elle doit être entièrement lue devant le tribunal »... ce qui non seulement prend énormément de temps, mais « rend également l'affaire très, très chère pour le plaignant, étant donné que les avocats facturent jusqu'à 1 000 € de l'heure » :
« Un exemple : dans l'affaire du Privacy Shield" ("Schrems II"), le transfert de données par Facebook vers les États-Unis posait problème. Il y avait trois parties dans cette affaire : Facebook, la DPC irlandaise et Max Schrems. La partie perdante doit payer les frais de justice de toutes les parties impliquées – et dans ce cas, ceux-ci s'élevaient à environ 10 millions d'euros (!). »
It's not a bug, it's a feature
Les BBA déplorent en outre le « manque de collégialité » de la DPC, le fait qu'elle n'aurait « pas l'esprit européen », mais une « attitude secrète » :
« La commissaire Helen Dixon, qui dirige l'autorité, présente un comportement similaire. Elle n'assiste pratiquement à aucune des sessions conjointes des commissaires européens à la protection des données. Elle envoie généralement un adjoint, qui est alors incapable et non autorisé à dire quoi que ce soit. La communication au niveau des commissaires est donc inexistante. »
Les services administratifs de la DPC se comporteraient tout pareillement : « les demandes de renseignements par courrier électronique émanant de collègues allemands ou autrichiens restent souvent sans réponse et les appels téléphoniques ne sont pas pris » :
« Les membres d'autres autorités de protection des données ont tendance à être "fantômisés" - complètement ignorés - par leurs homologues irlandais, les dossiers ne sont pas partagés avec les collègues européens. La Commission irlandaise de protection des données agit comme un "trou noir" où tout disparaît. »
Or, déplorent les BBA, « ce refus de travailler n'a pas seulement des effets néfastes sur les citoyens irlandais, mais sur 450 millions de personnes dans l'UE, dont les droits sont bafoués par les grandes entreprises numériques » :
« Le comportement de la Commission irlandaise de protection des données crée une situation où les petites et moyennes entreprises de toute l'Europe sont sanctionnées par leurs autorités nationales de protection des données, tandis que les grandes entreprises se moquent de nous : "Allez-y, plaignez-vous - nous sommes en Irlande". »
L'Irlande, paradis fiscal du capitalisme de surveillance
Pour toutes ces raisons, les BBA estiment que la DPC « fait de l'Irlande une oasis de confidentialité, une échappatoire pour les criminels, une réserve pour les sangsues de données », et qu'il s'agirait d' « une pièce de puzzle très appropriée pour une autre partie de l'écosystème de l'île verte : son paradis fiscal » :
« Officiellement, l'impôt sur les sociétés en Irlande est de 12,5 %. Mais l'Irlande a donné à certaines entreprises étrangères la possibilité de réduire leur facture fiscale effective de 0 à 2,5 %. Il existe des noms créatifs pour ces esquives fiscales, comme "Double Irish", "Double Irish with a Dutch sandwich" ou "Single Malt". Les régimes d'économies d'impôts irlandais extraient plus d'argent des autorités fiscales – et donc du grand public – que ceux de l'ensemble des Caraïbes. »
Ces accords, « très lucratifs pour l'Irlande », permettent en contrepartie aux grandes entreprises technologiques de « s'engager dans le capitalisme de surveillance sans tenir compte des droits civils » :
« Ce sont les modèles commerciaux qui collectent des données personnelles, compilent des profils, identifient des catégories, manipulent les gens et vendent des prédictions de leur comportement, enlevant une grande partie de leur future agence. L'Irlande vit des miettes de pain de Big Tech. Et c'est bien ainsi, car même 2,5 % des ventes mondiales d'Apple, c'est beaucoup d'argent. »
Et ce, d'autant que « l'Irlande est extrêmement dépendante des entreprises technologiques », soulignent les BBA, qui mentionnent « quelques chiffres » :
- « 80% de l'impôt irlandais sur les sociétés en 2016-2017 a été payé par des sociétés étrangères.
- En 2018, Apple représentait à elle seule un cinquième du produit intérieur brut irlandais.
- Parmi les 50 premières entreprises irlandaises, 25 sont contrôlées par les États-Unis. »
Ces 25 entreprises américaines totalisaient en 2017 à elles seules 70 % du chiffre d'affaires cumulé de ces 50 sociétés. En 2020, Apple, Google et Microsoft étaient les trois plus grosses entreprises irlandaises, Meta étant passé de la sixième à la quatrième position en 2021. L'Irlande est donc de plus en plus dépendante des impôts des GAFM (le siège social d'Amazon, exception qui confirme la règle, est à Luxembourg).
99,93 % des plaintes adressées à la DPC n’aboutissent pas
« Combien de temps allons-nous continuer à tolérer cela ? », interrogent les BBA. Nos archives montrent par exemple qu'en avril 2021, l'ONG noyb de Max Schrems déplorait que 99,93 % des plaintes adressées à la CNIL irlandaise n’aboutissaient pas :
« Bien qu’elle ait signalé plus de 10 000 plaintes en 2020, l’autorité ne prévoit que six à sept décisions formelles en 2021, ce qui signifie que seul 0,07 % de toutes les plaintes relatives au RGPD pourraient éventuellement faire l'objet d'une décision formelle. »
En novembre 2021, l'ONG Irish Council for Civil Liberties de Johnny Ryan avait de son côté attaqué la Commission européenne devant le Médiateur européen (ou « European Ombudsman » en anglais), pour ne pas avoir poursuivi en justice l’Irlande dans l’application du RGPD.
En janvier 2022, Didier Reynders, commissaire européen à la Justice, avait rejeté les arguments de quatre eurodéputées (dont Sophie in’t Veld), qui l'exhortaient d’ouvrir une procédure à l’encontre de l’autorité irlandaise, cheffe de file pour le contrôle des « GAFAs » en Europe, accusant celle-ci d’être beaucoup trop tiède et accommodante à l’encontre de ces géants.
En mars, Johnny Ryan traînait même la DPC en justice, « pour son incapacité à protéger les personnes contre la plus grande violation de données jamais enregistrée », le système de publicités par enchères en temps réel (RTB) de Google :
« Nous craignons que les droits des individus dans toute l'UE ne soient menacés, car le DPC n'a pas enquêté sur le système RTB de Google pendant trois ans et demi depuis la première notification de Johnny Ryan en 2018. (…) Les tentatives répétées pour amener le DPC à se saisir de cette violation des droits ont échoué »,
Une grenouille qui se veut faire aussi grosse que le bœuf
Les BBA notent cela dit que « les choses commencent à bouger en Europe. Parce qu'à un moment donné, même les protecteurs de données et les politiciens les plus diplomates, amicaux et patients en auront assez » :
« En janvier 2021, la commission LIBE du Parlement européen (la commission des libertés civiles, de la justice et des affaires intérieures) a décidé d'engager une procédure d'infraction contre l'Irlande, car l'Irlande ne parvient pas à mettre en œuvre efficacement le règlement général sur la protection des données. »
Helen Dixon a demandé à être entendue, mais tout en « affirmant qu'elle ne comparaîtra pas si des critiques tels que Max Schrems seront également invités », déplorent cela dit les BBA, pour qui « Dixon veut même contrôler les débats au Parlement européen ».
Ils concluent donc que « le système du guichet unique est clairement dysfonctionnel », et devrait donc être « fondamentalement réformé : si un seul pays peut bloquer l'application du règlement général sur la protection des données afin de servir son propre intérêt, il y a une faute structurelle. »
Ils proposent par ailleurs aux éventuels plaignants de s'adresser directement aux tribunaux, et non aux autorités de protection des données, tout en relevant cela dit que cela pourrait s'avérer « être très coûteux ».
Ils appellent en outre les autres autorités de protection des données personnelles européennes à ne plus transmettre de plaintes à la DPC : « certains États membres de l'UE comme la France le font déjà à l'occasion », sans que les BBA ne donnent plus de précisions.
