En fait. Le 23 avril, la présidente de la Cnil a annoncé sur Franceinfo qu’elle va « saisir de façon officielle la “Cnil” irlandaise [la DPC] sur les conditions de collecte et d’exploitation des données sur cette application TikTok Lite ». Ou comment son homologue de Dublin est devenue centrale en Europe.

En clair. Cela va faire six ans, le 25 mai prochain, que la Data Protection Commission (DPC) – la « Cnil » irlandaise – est devenue la cheffe de file attitrée dans l’Union européenne (UE) pour veiller au respect du règlement général sur la protection des données personnelles (RGPD) par les principaux géants du Net. C’est en effet le 25 mai 2018 que ce dernier est entré en vigueur dans les Vingt-sept (1).
Et pour cause : les Gafam (Google/YouTube, Apple, Meta/Facebook, Amazon et Microsoft/LinkedIn) ainsi que TikTok, Twitter, eBay, Airbnb, PayPal ou encore Netflix ont choisi d’installer leur siège européen en Irlande, la plupart dans la capitale irlandaise Dublin (2). Car ce petit pays membre de l’UE est l’un des mieux disant au monde en matière de fiscalité, tant en termes d’impôt sur les sociétés (12,5 % sur les bénéfices et même seulement 6,25 % sur les revenus des brevets) que de crédit d’impôt recherche et développement (R&D) pouvant aller jusqu’à 37,5 %. Résultat, faute d’harmonisation fiscale en Europe : les Big Tech, notamment américaines, se bousculent au portillon irlandais. En conséquence, depuis l’entrée en vigueur du RGPD, la Data Protection Commission (DPC) est devenue la « Cnil » européenne la plus sollicitée en matière de protection des données personnelles et de la vie privée.

Car, conformément au RGPD, la DPC est depuis près de six ans la principale « autorité de contrôle chef de file » (lead supervisory authority) en la matière (3), étant donné que la plupart des QG des géants du numérique sont en Irlande. C’est le cas de la société TikTok Technology Limited, filiale irlandaise du chinois ByteDance. La DPC lui a déjà infligé en septembre 2023 une amende de 345 millions d’euros pour violation du RGPD (4). Meta Platforms Ireland Limited (anciennement Facebook) a aussi été sanctionné en mai 2023 par la DPC à hauteur de 1,2 milliard d’euros pour Facebook (5), de 405 millions d’euros pour Instagram et de 225 millions d’euros pour WhatsApp. Amazon a dû aussi payer 746 millions d’euros en 2021.
Mais la « Cnil » irlandaise est-elle suffisamment sévère avec les Gafam qui rapportent gros à son pays ? C’est en creux ce que se demandent certaines autres « Cnil » européennes ainsi que le Conseil irlandais des libertés civiles (ICCL), ce dernier estimant que la DPC n’enquête pas assez sur notamment Google. La Haute cour d’Irlande a été saisie l’an dernier. @