Une ancienne lobbyiste de Meta pour superviser Meta ?
Ne vous y trompez pas : la nomination d'un nouveau commissaire à l'autorité irlandaise de protection des données (DPC) n'est pas une obscure affaire administrative. C'est un événement qui concerne directement les 450 millions de citoyens européens.
En raison de la présence à Dublin des sièges européens de la plupart des géants américains de la tech (GAFAM), la DPC irlandaise est de facto leur principal régulateur pour l'ensemble du marché unique. C'est elle qui est en première ligne pour faire respecter le RGPD.
L'annonce de la nomination de Niamh Sweeney à l'un des postes de commissaire a donc provoqué une onde de choc. Cette nomination est le dernier exemple en date d'un phénomène de "pantouflage" qui interroge sur l'indépendance réelle des gardiens du numérique en Europe.
De la défense de Meta à la surveillance de Meta : un parcours qui interroge
Avant d'être chargée de superviser les géants de la technologie, Niamh Sweeney a passé plus de six ans à travailler directement pour Meta, anciennement connue sous le nom de Facebook.
Son rôle n'était pas anodin : elle a d'abord dirigé la politique publique pour Facebook en Irlande pendant trois ans et demi, avant de prendre la direction de ces mêmes enjeux pour toute l'Europe, le Moyen-Orient et l'Afrique au sein de WhatsApp, une filiale clé de l'empire Meta.
Il est crucial de noter qu'elle a occupé ces fonctions et défendu les intérêts de l'entreprise y compris durant des périodes de controverses majeures, comme le scandale "Cambridge Analytica".
L'ironie est flagrante : une personne dont le métier était d'influencer la réglementation et de défendre la réputation de Meta est désormais en position de contrôler cette même entreprise...
Un régulateur déjà tristement célèbre pour sa proximité avec les GAFAM
Cette nomination intervient dans un contexte où la réputation de la DPC irlandaise est déjà fortement écornée. L'autorité est décrite par de nombreuses organisations de la société civile comme étant "notoirement pro-business".
Les chiffres semblent confirmer cette critique. Bien que la DPC ait prononcé des sanctions s'élevant à plus de 3,26 milliards d'euros, une analyse du quotidien The Irish Times révèle que seulement 19,9 millions d'euros, soit 0,6 % du total, ont été effectivement collectés.
L'association de défense de la vie privée noyb (None of Your Business) conclut amèrement :
"Cela crée l'impression d'une application de la loi, mais garantit en réalité que les Big Tech américaines peuvent opérer sur le marché européen sans être dérangées par les lois numériques strictes de l'UE."
source : noyb.eu
"Les masques tombent" : la réaction virulente des défenseurs de la vie privée
C'est dans ce contexte de faiblesse avérée que la nomination d'une ancienne de Meta a été perçue non pas comme une simple erreur, mais comme une provocation.
La décision a logiquement provoqué une levée de boucliers de la part des organisations de défense des droits numériques, avec en tête de file l'association noyb et son président, Max Schrems, l'activiste autrichien qui est la bête noire de Meta, ayant déjà fait invalider par deux fois les mécanismes de transfert de données vers les États-Unis. Sa réaction est sans équivoque :
"Nous avons maintenant littéralement un lobbyiste des Big Tech américaines qui supervise les Big Tech américaines pour l'Europe. Pendant 20 ans, l'Irlande n'a pas appliqué la loi européenne, mais au moins elle avait assez de honte pour saper son application en secret."
source : noyb.eu
Max Schrems ajoute que cette décision montre que "le gouvernement irlandais ne prétend même plus se soucier de l'application de la loi européenne". Pour lui, c'est la fin d'une hypocrisie qui durait depuis des années : "Avec cette nomination, tous les masques semblent être tombés.".
Un conflit d'intérêts direct sur des dossiers à plusieurs milliards d'euros
Au-delà du symbole, la nomination de Niamh Sweeney pose un problème de conflit d'intérêts concret et immédiat. Meta est actuellement en train de faire appel de deux amendes massives qui lui ont été infligées par la DPC : une de 390 millions d'euros pour collecte illégale de données personnelles et une autre de 1,2 milliard d'euros concernant les transferts de données de l'UE vers les États-Unis.
Le problème est donc flagrant : Niamh Sweeney passe du rôle de défenseur de Meta, qui conteste ces décisions, à celui de dirigeante de l'autorité de régulation qui poursuit ces mêmes affaires contre son ancien employeur.
Concrètement, Niamh Sweeney pourrait être amenée à superviser la stratégie juridique de la DPC contre des arguments et des tactiques de défense qu'elle a peut-être contribué à élaborer lorsqu'elle était chez Meta. Elle connaîtrait les forces et les faiblesses de son ancien employeur de l'intérieur, créant un déséquilibre flagrant.
Pourquoi cette affaire irlandaise est un problème pour nous tous en Europe
Cette nomination ne fragilise pas seulement l'Irlande, mais bien l'ensemble de l'édifice européen de protection des données.
Comme le souligne Sophie in 't Veld, ancienne députée européenne, la DPC irlandaise est "en grande partie le gardien de l'ensemble de l'UE" (LinkedIn).
Le mécanisme du "guichet unique" prévu par le RGPD donne en effet au régulateur du pays où se trouve le siège principal d'une entreprise la compétence pour l'ensemble de l'Union. La faiblesse, la lenteur ou la partialité de ce gardien irlandais a donc des répercussions directes sur la protection des données personnelles de tous les citoyens européens. Une décision non prise ou une sanction non appliquée à Dublin signifie que les droits des utilisateurs en France, en Allemagne ou en Espagne sont moins bien protégés.
Conclusion : À qui peut-on encore faire confiance ?
L'affaire Niamh Sweeney illustre de manière évidente la ligne de plus en plus floue entre les régulateurs et les puissantes entreprises qu'ils sont censés superviser. Elle soulève une question fondamentale sur l'indépendance des institutions chargées de protéger nos droits fondamentaux à l'ère numérique.
Lorsque le régulateur en chef du numérique européen est un ancien lobbyiste de la firme qu'il doit surveiller, la question n'est plus de savoir qui protège nos données, mais si elles sont encore protégées tout court.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
