GuiGui's Show

In the judgment C-416/23, the Austrian Data Protection Authority (DSB) received a slap in the face from the CJEU. The authority has – arbitrarily – set the number of complaints that data subjects can file at a maximum of two per month, even if one is affected by GDPR violations almost daily. The CJEU has now made it clear: as long as you do not file abusive complaints, all users have the right to have any GDPR violation remedied by the DSB. Unfortunately, DPAs trying to get rid of complaints isn't just an Austrian problem. Our figures show an EU-wide problem with DPA inactivity.

Dismissing and discontinuing en masse. For years, the DSB has developed various ‘techniques’ to discontinue proceedings against companies as much as possible. For example, data subjects are often threatened with the discontinuation of proceedings after each statement made by a company, if they do not object within two weeks. The DSB also discontinues proceedings on a large scale if a company (after years of dispute) complies with the GDPR at the last minute. […]

La CNIL ne ferait jamais ça, bien évidemment. :)))) Si, en fait.

Only 1.36% of all proceedings result in a fine. The DSB currently states that in 2023 it conducted 4,030 proceedings (2,389 national complaints, 876 cross-border complaints and 765 ex officio proceedings). However, only 55 fines were imposed in the entire year. This means that statistically, only 1.36% of all proceedings end with a fine. By way of comparison: 8.34 million traffic fines were issued in Austria in 2021. At peak times in 2023, more than 7,000 fines for incorrectly parked e-scooters were issued per month in Vienna. Statistically, it would take the DSB 127 years to issue these 7,000 penalties. However, many GDPR violations are as trivial as parking offences. User requests are simply not processed, consent is not obtained, or data is not deleted.

Alors que la CNIL… Ho, wait. :))))

Not only an Austrian problem. This problem isn't unique to Austria, but concerns data protection authorities across Europe. In 2022 (the last year with EU-wide numbers), all European DPAs had a combined number of 140,106 proceedings – but only issued 1819 fines against companies. This means that in only 1.3% of cases there was a serious consequence. This clearly shows that there is an EU-wide problem with DPA inactivity and authorities dragging out proceedings.

La branlette générale se constate dans les chiffres remontés au CEPD (ceux de la France).

Procedures take years – instead of months. According to § 73 AVG, the DSB must decide within 6 months. In reality, procedures almost always take significantly longer. For example, 3 years for a decision on an illegal cookie banner is no exception. The noyb statistics for Austria show many cases that wait well over 6 months for a decision. Further appeals to the Federal Administrative Court also take several years instead of the 6 months provided by law. As a result, law enforcement in Austria is in no way compliant with EU law.

Alors que la CNIL… Ho… :))))

Budget problems? […] A single penalty imposed on Google could amount to as much as €6 billion […]

Tout ne se résume pas à la thune. Il y a aussi la volonté, les priorités, la compétence, l'organisation, les méthodes et outils de travail, etc. Tu peux filer des centaines de milliards d'euros à un âne qui chie, il n'avancera pas. Pas vrai, la CNIL ? :)))) Pour ça qu'Aeris avait proposé à la Cour des comptes d'étudier le budget de la CNIL.

Quelques mois plus tard, noyb publiait que l'APD autrichienne est exsangue : Budget cuts paralyse Austrian DPA: NGO complaint to the EU Commission. Baisse de budget, recours à des travailleurs temporaires (12 mois), etc.

Conclusions de l'avocat général :

Point 74 :

Il s’ensuit que ces ressources doivent être adaptées à l’utilisation que les personnes concernées font de leur droit d’introduire des réclamations auprès des autorités de contrôle. Il serait paradoxal que, alors même que le législateur de l’Union a souhaité, comme cela ressort de l’article 57, paragraphe 2, de ce règlement, faciliter l’introduction de ces réclamations, ce qui revient à les encourager, il ait, dans le même temps, permis à ces autorités de refuser de donner suite auxdites réclamations lorsqu’elles estiment que leur nombre est trop important.

Point 89 :

Cela étant, au vu du contexte dans lequel s’inscrit l’article 57, paragraphe 4, du RGPD et des objectifs que poursuit ce règlement, une autorité de contrôle ne saurait exercer ce choix de façon discrétionnaire et non motivée. En effet, compte tenu de l’importance que revêt le droit d’introduire des réclamations au regard de l’objectif visant à garantir un niveau élevé de protection des données à caractère personnel, de la place essentielle que le traitement de ces réclamations occupe parmi les missions qui sont attribuées aux autorités de contrôle et de l’obligation qui incombe à ces autorités de procéder au traitement desdites réclamations avec toute la diligence requise, il incombe auxdites autorités de prendre en compte toutes les circonstances pertinentes et de s’assurer du caractère approprié et proportionné de l’option choisie. Ces éléments d’appréciation doivent figurer dans la motivation de la décision de l’autorité de contrôle saisie.

Arrêt C-416/23 :

Points 51 et 52 :

À cet égard, il convient encore de rappeler que les États membres sont tenus, en vertu de l’article 52, paragraphe 4, du RGPD, de veiller à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs. Il s’ensuit que ces ressources doivent être adaptées à l’utilisation que les personnes concernées font de leur droit d’introduire des réclamations auprès des autorités de contrôle.

Ainsi, il incombe aux États membres de fournir aux autorités de contrôle les moyens adaptés au traitement de toutes les réclamations dont elles sont saisies, le cas échéant en augmentant ces moyens en vue de les adapter à l’utilisation que les personnes concernées font de leur droit d’introduire des réclamations au titre de l’article 77, paragraphe 1, du RGPD. […]

Point 70 :

Compte tenu des considérations qui précèdent, il y a lieu de répondre à la troisième question que l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que, lorsqu’elle est confrontée à des demandes excessives, une autorité de contrôle peut choisir, par une décision motivée, entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à ces demandes, en tenant compte de l’ensemble des circonstances pertinentes et en s’assurant du caractère approprié, nécessaire et proportionné de l’option choisie.

La CJUE est frileuse, mais on a un début d'exigence de motivation, très localisée sur l'acceptation / rejet de réclamations. On retrouve aussi cela dans l'Internal EDPB Document 02/2021 on SAs duties in relation to alleged GDPR infringements du CEPD (notamment points 47-49, 62, 68) et dans des décisions plus récentes de la CJUE.

Le reste est sans surprise : une autorité de protection des données doit être mise en capacité de rejeter les réclamations visant à entraver au lieu de faire protéger ces droits. En droit administratif français, le volume d'une demande formulée à une administration, par exemple de communication de documents, ne suffit pas à lui seul à caractériser une demande abusive. Dommage que l'article 57(4) du RGPD ne prévoit pas cela de base.

#Autriche