Skip to content

The Irish CNIL assault on justice CEPD

I revealed him pair

– 0 instances

The Irish Fee for the Safety of Ladies (DPC) inflicts two amendments on Meta: one for Fb (210 million) and one different for Instagram (180 million). Vu l’avis contraignant de décembre dernier émis par le CEPD, la DPC n’avait pas le choix mais elle fait de la résistance: outre le montant (faible) des amendes, elle attaque en justice la décision du CEPD. Le conflit risque de mettre à mal la confianza sur la quelle reste le mecanisme du “chef de file” created by the GDPR.

The DPC rendered two selections regarding Meta Platforms Eire Restricted (“Meta Eire”), inflicting an addition of 210 million euros (for des violations du GDPR liées à son service Fb) et de 180 million d’euros (for des violations Liées à son service Instagram).

The CPD aussi émis une injonction de mise en conformité dans un délai de 3 mois.

These selections are the results of petitions déposées on Could 25, 2018, date of entry into pressure of the GDPR. 5 years of process…

Le probleme de fond: quelle base de licéité pour la publicité compementamentale?

Jusqu’à l’entrée en vigueur du RGPD, Meta faisait reposer ses traitements de données personnelles, y compris la publicité comprementamentale, sur le “consentement” de l’utilisateur.

Simply earlier than Could 25, 2018, date of entry into pressure of the GDPR, Meta Eire modifies its circumstances of service, signaling that they alter this license foundation: with consent, they move by means of the execution of the “contract” for the plupart (mais pas tous) des traitements.

Objectif de la manoeuvre: the RGPD ne permettant plus sérieusement de considerer que le consenté était valably recueilli (free, specify, informé, and so on.), il failait passer à une autre base de licéité ou arrêter la publicité comprêtementale. Goal the place I take into account that publicity conduct is “mandatory” à l’exécution du contract d’utilisation du réseau. Du même coup, Meta se débarrassait de toutes les contraintes liées au consent (retrait, and so on.) et reprenait completely la important sur ses traitements de él.

In Could 2018, those that proceed to entry the providers of Fb and Instagram after the introduction of the GDPR, current customers (and the brand new ones) are invited to click on on “J’accepte” to point the acceptance of circumstances of service mises a day. By default, the providers should not extra accessible.

Nous avons déjà consecré une actu à la problematique de fond et y renvoyons.

la plante

In substance, they declare that:

  • The fourniture of providers personnalisés et de publicité behaviorale can’t be thought of as “mandatory” à l’exécution du contract concluded with using Fb and Instagram;
  • The fourniture of providers personnalisés et de publicité behaviorale cannot move non plus s’appuyer sur le consentement automobile la procédure de mise à jour (accepter ou cesser d’utiliser le service) ne permet pas de cueillir un consent libre et specifique. In outre, vu le contexte, la transparency (consentment informé) n’était pas assurée à suffisance.

the process

La DPC a mené (très lentement) l’enquête et abouti aux constats suivants :

  1. Violation of obligations en matière de transparency: les informations kin à la base juridique n’étaient pas clearly uncovered aux utilisateurs, qui ne savent donc pas clairement quelles opérations de traitement étaient effectuées sur leurs données à caractère personnel, pour quelle(s) finalité( s) et par référence à quelle base de licéité.
  2. Meta peut fonder le traitement, y compris pour la publicité comprementale, sur l’exécution du contrat conclu avec l’utilisateur. Il n’est pas requis de fonder le traitement sur le consentement.

Le CPD donnait donc raison à Fb sur l’essentiel.

The opposite resolution of CEPD

In accordance with the GDPR, the draft resolution of the DPC will handle the nationwide authorities of the opposite nations concerned, with no consensus being discovered.

Within the absence of consensus, the file has arrived on the desk of the European Committee for the Safety of Dons (CEPD).

The CEPD rendered its conclusions on December 5, 2022:

  • Sur la violation de l’obligación de transparency: CEPD validates the discovering of the DPC, mais souhaite une enhance du quantity of l’amende.
  • Sur la query la más necessary relative à la base de licéité, le CEPD s’oppose à la DPC : Meta Eire n’est pas en droit d’invoquer la base juridique du “contract” comme fondement légal de son traitement des données à caractère personnel aux fins de la publicité comprementale.

The DPC plie mais assault the CEPD in justice

S’agissant d’une resolution contraignante, the DPC a bien dû admettre de s’y soumettre … pour l’on the spot.

The choices of the DPC inflict two amendments on Meta Eire: 210 million euros (within the case of Fb) and 180 million euros within the case of Instagram. Un peu plus que ce qui était prévu, certes, mais un montant sans commune mesure avec les enjeux.

Purpose Eire doit aussi metre en conformité dans un délai de 3 mois.

Par ailleurs, the CEPD additionally sued the DPC for having joined new enquête portant sur l’ensemble des opérations de traitement des données de Fb et d’Instagram, et d’examiner les catégories particulières de données à caractère personnel qui peuvent ou non être traitées dans le cadre de ces opérations. The Irish DPC deems that the CEPD is sans compétence to demand l’ouverture d’une enquête et il annonce demander en justice l’annulación des directions de l’EDPB.

Commentaries

La critique de la DPC quant au pouvoir d’injonction du CEPD n’est pas dénuée d’intérêt. And at-il une place dans le RGPD pour ce genere d’injonction, alors que le principe de l’autorité chef de file est clairement posé et confie à une seule autorité la supervisión de ses «clientes»? The query is posed. Peut-être la réponse est-elle dans l’esprit plus que la forma: non le CEPD ne peut pas enjoindre (au sens juridique et contraignant) une autorité d’enquêter, mais les autorités nationales ayant le devoir de superviser actively leurs « shoppers », she doesn’t hear a query if they’re in opposition to the raisons de soupçonner a violation of the GDPR. Or, the demand of CEPD constitutes a tel soupçon.

Pour autant, l’essentiel n’est pas là.

La vraie inquiétude provient du fait que le principe de l’autorité chef de file repose sur une situation fondatrice sine qua non : mutual belief.

Or, il est désormais acquis que:

  • Aussi bien sur le fond (ses positions très isolées ainsi que le montant des mendes) que sur la forme (la manière dont elle gère les enquêtes et plaintes), the DPC understands faire de l’Irlande un paradis data-friendly pour les GAFAM, et qu’elle est prête à déterrer la hache de guerre pour arriver à ses fins.
  • The authorities of the opposite nations members, even when the European Parliament, ont lose all confidence within the DPC that sure voudraient mettre sous tutelle (voir à ce topic les déclarations du médiateur européen). If the CEPD émet une demande d’enquête, plainly the DPC doesn’t permit it to take action and that the façon dont ella gère les plaintes pose de nombreuses questions (accès au file, transparency, délai, and so on.).

Do you could have confidence?

Leave a Reply

Your email address will not be published. Required fields are marked *