Au terme d'une enquête initiée en 2022 concernant plusieurs manquements importants au RGPD, la Data Protection Commission (DPC, la CNIL irlandaise) vient d'adresser à la multinationale américaine Airbnb une simple « réprimande », s’étonne L'Usine Digitale.
Dans une décision datant de juillet mais que la DPC vient seulement de rendre publique, elle reproche à Airbnb d'avoir demandé à ses utilisateurs de vérifier leurs identités en téléchargeant leurs cartes d'identité. Mais également d'avoir manqué à ses obligations concernant le droit d'accès aux données, en ne répondant pas suffisamment rapidement aux requêtes formulées, et en ne « fournissant pas un dossier d'accès sous une forme concise, transparente, compréhensible et facilement accessible ».
La DPC, pour autant, « a décidé de ne pas punir, avec l'aval du Comité européen de la protection des données », souligne notre confrère, Airbnb n'étant enjoint que de « réviser ses politiques et procédures internes ».
Une « réprimande » qui fait tiquer Max Schrems, de l'ONG noyb, pour qui cette décision montre que l'interprétation que fait la DPC du RGPD équivaut à expliquer que « les amendes ne sont pas vraiment un sujet d'inquiétude - même si vous violez les principes fondamentaux et que vous êtes @Airbnb ».
- La CNIL irlandaise écope d'un « Big Brother Awards »
- RGPD : en 2022, la DPC irlandaise a mené 17 enquêtes, et infligé 9 amendes
L'Irlande accueille, du fait de son régime fiscal, le siège social européen de la majorité des Big Tech'. noyb et d'autres ONG avancent que cela expliquerait le laxisme de la DPC, que brocardent également les autres autorités de protection des données personnelles européennes. Au point que la DPC a même écopé, en 2022, d'un « Big Brother Awards ».
Commentaires (5)
#1
Ça, surtout, c’est étonnant !
#2
En fait, pour supprimer les données, Airbnb a demandé une copie d’une pièce d’identité, qui n’était apparemment pas nécessaire pour créer un compte
Non, les autres autorités n’ont pas approuvé, mais elles n’ont pas contesté avec des arguments recevables (selon la DPC) dans le délai imparti (qui n’est pas précisé). La plainte datant du 22 décembre 2022 et la décision ayant été publiée le 20 juillet 2023, il est possible que le délai ait été inexistant ou trop court.
#3
En allant lire le PDF, qui est une honte, vu que c’est des pages scannées au format image, on constate que la DPC a fourni le draft de la décision de 15 juin 2023 aux “supervisory authorities concerned” et qu’elle a reçu une opinion de l’autorité portugaise sur laquelle est s’est assise
#4
Le délai de réponse des autres autorités de contrôle lorsque le chef de file soumet une demande d’assistance est de quatre semaines (article 60(4) du RGPD). Si une objection est soumise par une autorité de contrôle, le délai de révision de la décision est de deux semaines (article 60(5)).
Dans le cas de cette procédure, l’article 60(6) se traduit par “qui ne dit mot consent” : en l’absence d’objection, les autorités de contrôle sont réputées approuver le projet de décision.
#5
Ah une époque Blizzard faisait exactement la même chose…