Airbnb viole le RGPD, la CNIL irlandaise lui inflige une simple « réprimande »

Airbnb viole le RGPD, la CNIL irlandaise lui inflige une simple « réprimande »

Airbnb viole le RGPD, la CNIL irlandaise lui inflige une simple « réprimande »

Au terme d'une enquête initiée en 2022 concernant plusieurs manquements importants au RGPD, la Data Protection Commission (DPC, la CNIL irlandaise) vient d'adresser à la multinationale américaine Airbnb une simple « réprimande », s’étonne L'Usine Digitale.

Dans une décision datant de juillet mais que la DPC vient seulement de rendre publique, elle reproche à Airbnb d'avoir demandé à ses utilisateurs de vérifier leurs identités en téléchargeant leurs cartes d'identité. Mais également d'avoir manqué à ses obligations concernant le droit d'accès aux données, en ne répondant pas suffisamment rapidement aux requêtes formulées, et en ne « fournissant pas un dossier d'accès sous une forme concise, transparente, compréhensible et facilement accessible ».

La DPC, pour autant, « a décidé de ne pas punir, avec l'aval du Comité européen de la protection des données », souligne notre confrère, Airbnb n'étant enjoint que de « réviser ses politiques et procédures internes ».

Une « réprimande » qui fait tiquer Max Schrems, de l'ONG noyb, pour qui cette décision montre que l'interprétation que fait la DPC du RGPD équivaut à expliquer que « les amendes ne sont pas vraiment un sujet d'inquiétude - même si vous violez les principes fondamentaux et que vous êtes @Airbnb ».

L'Irlande accueille, du fait de son régime fiscal, le siège social européen de la majorité des Big Tech'. noyb et d'autres ONG avancent que cela expliquerait le laxisme de la DPC, que brocardent également les autres autorités de protection des données personnelles européennes. Au point que la DPC a même écopé, en 2022, d'un « Big Brother Awards ». 

Commentaires (5)



La DPC, pour autant, « a décidé de ne pas punir, avec l’aval du Comité européen de la protection des données »




Ça, surtout, c’est étonnant !



Airbnb failed to comply with an access request and subsequent erasure request within the statutory timeframe and, further, that when the Complainant submitted their access and erasure requests, Airbnb requested that they verify their identity by providing a photocopy of their identity document (ID), which they had not previously provided to Airbnb.




En fait, pour supprimer les données, Airbnb a demandé une copie d’une pièce d’identité, qui n’était apparemment pas nécessaire pour créer un compte




As the DPC received no relevant and reasoned objections to the draft decision from the supervisory authorities concerned within the statutory period, the supervisory authorities concerned were deemed to be in agreement with the draft decision of the DPC and are bound by it in accordance with Article 60(6) of the GDPR.




Non, les autres autorités n’ont pas approuvé, mais elles n’ont pas contesté avec des arguments recevables (selon la DPC) dans le délai imparti (qui n’est pas précisé). La plainte datant du 22 décembre 2022 et la décision ayant été publiée le 20 juillet 2023, il est possible que le délai ait été inexistant ou trop court.


En allant lire le PDF, qui est une honte, vu que c’est des pages scannées au format image, on constate que la DPC a fourni le draft de la décision de 15 juin 2023 aux “supervisory authorities concerned” et qu’elle a reçu une opinion de l’autorité portugaise sur laquelle est s’est assise



Gamble a dit:


Non, les autres autorités n’ont pas approuvé, mais elles n’ont pas contesté avec des arguments recevables (selon la DPC) dans le délai imparti (qui n’est pas précisé). La plainte datant du 22 décembre 2022 et la décision ayant été publiée le 20 juillet 2023, il est possible que le délai ait été inexistant ou trop court.




Le délai de réponse des autres autorités de contrôle lorsque le chef de file soumet une demande d’assistance est de quatre semaines (article 60(4) du RGPD). Si une objection est soumise par une autorité de contrôle, le délai de révision de la décision est de deux semaines (article 60(5)).



Dans le cas de cette procédure, l’article 60(6) se traduit par “qui ne dit mot consent” : en l’absence d’objection, les autorités de contrôle sont réputées approuver le projet de décision.



Gamble a dit:




Airbnb failed to comply with an access request and subsequent erasure request within the statutory timeframe and, further, that when the Complainant submitted their access and erasure requests, Airbnb requested that they verify their identity by providing a photocopy of their identity document (ID), which they had not previously provided to Airbnb.




En fait, pour supprimer les données, Airbnb a demandé une copie d’une pièce d’identité, qui n’était apparemment pas nécessaire pour créer un comppte




Ah une époque Blizzard faisait exactement la même chose…


Fermer