En fait. Le 23 avril, la présidente de la Cnil a annoncé sur Franceinfo qu’elle va « saisir de façon officielle la “Cnil” irlandaise [la DPC] sur les conditions de collecte et d’exploitation des données sur cette application TikTok Lite ». Ou comment son homologue de Dublin est devenue centrale en Europe.
En clair. Cela va faire six ans, le 25 mai prochain, que la Data Protection Commission (DPC) – la « Cnil » irlandaise – est devenue la cheffe de file attitrée dans l’Union européenne (UE) pour veiller au respect du règlement général sur la protection des données personnelles (RGPD) par les principaux géants du Net. C’est en effet le 25 mai 2018 que ce dernier est entré en vigueur dans les Vingt-sept (1).
Et pour cause : les Gafam (Google/YouTube, Apple, Meta/Facebook, Amazon et Microsoft/LinkedIn) ainsi que TikTok, Twitter, eBay, Airbnb, PayPal ou encore Netflix ont choisi d’installer leur siège européen en Irlande, la plupart dans la capitale irlandaise Dublin (2). Car ce petit pays membre de l’UE est l’un des mieux disant au monde en matière de fiscalité, tant en termes d’impôt sur les sociétés (12,5 % sur les bénéfices et même seulement 6,25 % sur les revenus des brevets) que de crédit d’impôt recherche et développement (R&D) pouvant aller jusqu’à 37,5 %. Résultat, faute d’harmonisation fiscale en Europe : les Big Tech, notamment américaines, se bousculent au portillon irlandais. En conséquence, depuis l’entrée en vigueur du RGPD, la Data Protection Commission (DPC) est devenue la « Cnil » européenne la plus sollicitée en matière de protection des données personnelles et de la vie privée.
Car, conformément au RGPD, la DPC est depuis près de six ans la principale « autorité de contrôle chef de file » (lead supervisory authority) en la matière (3), étant donné que la plupart des QG des géants du numérique sont en Irlande. C’est le cas de la société TikTok Technology Limited, filiale irlandaise du chinois ByteDance. La DPC lui a déjà infligé en septembre 2023 une amende de 345 millions d’euros pour violation du RGPD (4). Meta Platforms Ireland Limited (anciennement Facebook) a aussi été sanctionné en mai 2023 par la DPC à hauteur de 1,2 milliard d’euros pour Facebook (5), de 405 millions d’euros pour Instagram et de 225 millions d’euros pour WhatsApp. Amazon a dû aussi payer 746 millions d’euros en 2021.
Mais la « Cnil » irlandaise est-elle suffisamment sévère avec les Gafam qui rapportent gros à son pays ? C’est en creux ce que se demandent certaines autres « Cnil » européennes ainsi que le Conseil irlandais des libertés civiles (ICCL), ce dernier estimant que la DPC n’enquête pas assez sur notamment Google. La Haute cour d’Irlande a été saisie l’an dernier. @
La Journée de la protection des données (Data Protection Day) qui été célébrée – comme tous les ans depuis 2007 (
Le « soft-law » des DPA jugé inefficace 
« L’anonymat sur les réseaux sociaux n’est plus une protection face à la justice », a lancé le procureur de la République de Créteil, Stéphane Hardouin, le 6 juillet dernier sur son compte professionnel LinkedIn, en montrant son communiqué expédié le même jour (
L’anonymat du Net est toute relative
Le Conseil d’Etat estime en outre que « la suppression de l’anonymat, qui n’a été adoptée par aucune démocratie occidentale et n’est pas envisagée au sein de l’Union européenne, ne paraît pas constituer une solution raisonnable conforme à notre cadre juridique le plus fondamental ». Et contrairement aux détracteurs d’Internet et des réseaux sociaux, l’anonymat sur Internet n’existe pas en général. « Cette forme d’anonymat n’est que relative. Il est en effet relativement facile, en cas de nécessité, d’identifier une personne compte tenu des nombreuses traces numériques qu’elle laisse (adresse IP, données de géolocalisation, etc.). La LCEN [loi de 2004 pour la confiance dans l’écono-mie numérique, ndlr] prévoit l’obligation de fournir à la justice les adresses IP authentifiantes des auteurs de message haineux et plusieurs dispositifs normatifs, dont la directive dite “Police-Justice”, obligent les opérateurs à conserver de telles données : en pra-tique, les opérateurs répondent généralement sans difficulté aux réquisitions judiciaires pour communiquer l’adresse IP. Les obstacles rencontrés existent mais apparaissent finalement assez limités : la possibilité de s’exprimer sur Internet sans laisser aucune trace paraît donc à ce jour réservée aux “geeks” les plus aguerris [utilisant notamment le navigateur Tor garantissant l’anonymat de ses utilisateurs, ndlr] ».
La pseudonymisation, comme le définit d’ailleurs l’article 4 paragraphe 5 du règlement général européen sur la protection des données (RGPD), est un traitement de données personnelles réalisé de manière à ce que l’on ne puisse plus attribuer les données à une personne physique identifiée sans information supplémentaire. « En pratique, rappellent les sages du Palais-Royal, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénoms, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). La pseudonymisation permet ainsi de traiter les données d’individus sans pouvoir identifier ceux-ci de façon directe. Contrairement à l’anonymisation, la pseudonymisation est une opération réversible : il est possible de retrouver l’identité d’une personne si l’on dispose d’informations supplémentaires ». Sans remettre en cause l’anonymat de l’expression, le Conseil d’Etat propose notamment la généralisation du recours aux solutions d’identité numérique et aux tiers de confiance. Et ce, notamment pour mieux protéger les mineurs, vérifier la majorité numérique – laquelle vient d’être fixée en France à 15 ans (
Entré en application le 25 mai 2018, deux ans après son entrée en vigueur afin de laisser aux entreprises le temps nécessaire pour se mettre en conformité, le règlement européen sur la protection des données (RGPD) affichait des objectifs ambitieux (