Je n’ai pas pris le temps de parcourir les rapports annuels de toutes les autorités de protection des données de l’UE, je vous le concède. Pour autant, il me semble raisonnable de parier que chacune note une augmentation du nombre de plaintes. Et il en va de même pour les juridictions judiciaires et administratives, de plus en plus sollicitées sur le sujet.
Toutes les réclamations ne sont pas fondées. Certaines décisions confirment même ce à quoi j’ai pu être confronté, au bureau, à savoir l’apparition de « RGPD Troll », sur le modèle des « Patent troll ». Concrètement, des plaignants qui ne se plaignent que pour obtenir des indemnités (DSB, 21 février 2023, n° 2023-0.137.735). On parle tout de même d’acteurs qui peuvent aller jusqu’à utiliser des automates pour identifier les violations du RGPD dans le seul but de réclamer des dommages-intérêts (LG München, 30 mars 2023, n° 4 O 13063-22).
Dans d’autres cas, les réclamations sont fondées, mais les autorités – mettant en balance la gravité de la violation alléguée avec le temps d’enquête nécessaire – n’hésitent pas à classer. Certaines réclament le bénéfice du principe d’opportunité des poursuites. D’autres, comme l’APD belge, se permettent de n’investiguer que les traitements à risque élevé, au sens des dispositions relatives à l’AIPD (APD, 6 septembre 2023, n° 129/2023). L’une et l’autre de ces positions semblent difficiles à contester, le droit de déposer plainte ne créant pas de droit à l’investigation (TA Luxembourg, 21 avril 2023, n° 45717 ; APD belge, 16 août 2023, n° 115-2023 1), et ce même si une juridiction allemande semble avoir statué en sens contraire (LSG Niedersachsen-Bremen, 14 février 2023, n° L 16 SF 5-21 DS).
Autre point intéressant: la « CNIL grecque » a estimée que le retrait d’une plainte ne lui imposait pas de clôturer une procédure. Qu’elle pouvait être poursuivie sur la base du pouvoir d’enquête de l’autorité (HDPA, 28 juin 2022, Infinity Pack, n° 24-2023).
Ajoutez à cela le récent arrêt Deutsche Wohnen, qui exclut l’amende pour les manquements au RGPD non volontaires (CJUE, 5 décembre 2023, n° C-683-21 et C-807-21), et vous vous retrouvez avec un texte nettement moins favorable à ces tire-laine en tout genre.
Avez-vous déjà été confrontés à ces enjeux? Dans l’affirmative, quelles actions votre organisation a-t-elle prises ? Et dans le cas contraire, êtes-vous prêt à distinguer une demande légitime d’un « troll »?