Le RGPD, norme européenne en matière de protection des données, est désormais en vigueur depuis le 25 mai 2018. Mais il y a encore des choses à critiquer, surtout en ce qui concerne l'application du RGPD par les autorités allemandes.
Découvrez ici les cinq lacunes qui subsistent dans la protection des données en Allemagne après cinq ans d'application du RGPD.
1. traitement des réclamations sur la base du RGPD
Même si l'on pense volontiers à l'Irlande quand on évoque l'inaction des autorités de protection des données, l'Allemagne n'est pas non plus un modèle dans ce domaine. Les autorités sont encore loin de maîtriser le tracking sur les sites web et dans les applications.
Si l'on remonte plus loin dans le temps, on s'aperçoit rapidement qu'en Allemagne, il n'est pas possible de traiter les plaintes. C'est particulièrement frappant en Rhénanie-du-Nord-Westphalie : Sur les 29 plaintes déposées ces dernières années par l'organisation de protection des données noyb (none of your business) de l'Autrichien Max Schrems, une seule a effectivement été classée en Rhénanie-du-Nord-Westphalie. Dans certains cas, il n'y a même pas eu de réponse des autorités. Les plaintes portent souvent sur de grands sites web.
Les autorités reconnaissent elles-mêmes qu'elles ne peuvent procéder qu'à des contrôles aléatoires. La raison principale est le manque de capacité. Il n'est pas rare que les responsables de la protection des données qui déposent plusieurs plaintes auprès d'une autorité reçoivent l'information qu'une limite a été atteinte et que les plaintes suivantes du même plaignant ne seront plus traitées. Qu'il s'agisse de "petites" ou de grandes infractions, l'autorité compétente n'y prête plus attention.
2. amendes selon le RGPD
Si l'on regarde les plaintes effectivement poursuivies, on s'aperçoit aussi rapidement que les amendes sont relativement faibles.
L'organisation de protection des données noyb (none of your business) déplore en outre que les motifs de la décision ne soient pas reconnaissables. Contrairement à de nombreux autres États membres, les autorités allemandes de protection des données ne publient pas leurs décisions. Ainsi, les amendes infligées ne peuvent pas avoir d'effet dissuasif ou de prévention générale.
3. encore beaucoup d'infractions concernant le tracking
Au cours des cinq années de RGPD, ce sont surtout les portails médiatiques qui ont posé un gros problème, car ils vivent à de nombreux endroits de l'utilisation de la publicité comportementale.
Même si des progrès ont été réalisés dans ce domaine grâce au suivi intensif des autorités allemandes de protection des données, on constate encore de nombreux abus en matière de tracking. Le suivi analytique, les bannières de cookies trompeuses et les transferts de données vers des pays tiers peu sûrs sont encore trop fréquents.
En ce qui concerne les consentements recueillis, il existe toutefois encore une certaine insécurité juridique, qui a été quelque peu atténuée récemment par la TTDSG.
4. pas de standardisation ni d'automatisation dans l'application du RGPD
La grande question est de savoir comment les autorités de protection des données vont pouvoir se sortir de cette situation de surcharge. Bettina Gayk, commissaire à la protection des données et à la liberté d'information du Land de Rhénanie-du-Nord-Westphalie, ne voit aucune marge de manœuvre en matière d'amendes, car la situation juridique n'est pas suffisamment précise. "Mais on pourrait déjà chercher plus fortement de son propre chef les infractions de suivi standard, mais cela ne peut se faire que dans le cadre des capacités de travail disponibles".
Des Länder comme le Bade-Wurtemberg utilisent déjà leurs propres outils de contrôle pour traiter de manière automatisée, rapide et standardisée de nombreuses infractions. Une telle approche peut accélérer la mise en application, mais ne supprime pas le problème selon lequel l'utilisation d'un suivi analytique non autorisé ne nécessite que quelques clics, alors que les autorités ont généralement besoin de plusieurs années pour faire appliquer la suppression via des pages et des pages de mémoires et d'avis.
Les autorités ne disposent toujours pas de directives et de modèles clairs sur la manière dont une procédure peut être menée le plus rapidement et le plus efficacement possible.
5. conseiller plutôt que punir
La plupart des Länder s'efforcent en outre de résoudre les plaintes en bons termes avec les entreprises dans un premier temps. Des entretiens de conseil et des conférences sont organisés et du matériel d'information est distribué au lieu d'imposer des sanctions.
L'organisation de protection des données noyb (none of your business) critique à cet égard le fait que les entreprises apprennent qu'elles ont toujours une deuxième chance. On chercherait en vain des effets dissuasifs.
Cette démarche va parfois jusqu'à reprocher à certains Länder de vouloir améliorer la qualité de leur place économique en traitant la protection des données.
Conclusion
Même après cinq ans d'application du RGPD, l'Allemagne présente encore une liste considérable de lacunes en matière de mise en œuvre et d'application. La mise en place d'une protection des données standardisée reste donc un processus en cours.
Max Schrems a tiré un bilan personnel des cinq dernières années : la loi fonctionne, mais pas son application.