Publié le 13 novembre 2024 à 14h35. L’ancienne commissaire à la protection des données (DPC) Helen Dixon a quitté ses fonctions de régulatrice irlandaise des télécommunications, invoquant le besoin d’une nouvelle perspective après 18 ans passés au service public, tout en étant soumise à une période de réflexion réglementaire.
- Helen Dixon a démissionné de son poste chez ComReg le 28 février après un an en fonction.
- Elle est désormais soumise à une période de réflexion de 12 mois avant de pouvoir occuper un nouveau poste dans le secteur de la protection des données ou de la réglementation numérique.
- Dixon regrette ne pas avoir pu consacrer plus de temps à engager le public sur les enjeux de l’ère numérique.
Après une décennie passée à diriger la Commission irlandaise de protection des données (DPC), un organisme de premier plan au sein de l’Union européenne en raison de la concentration des géants technologiques et des réseaux sociaux à Dublin, Helen Dixon a pris ses distances avec le monde de la régulation. Elle a quitté son poste chez ComReg, le régulateur irlandais des télécommunications, le 28 février dernier, après seulement un an en fonction. Dans un entretien accordé au podcast La Confidentialité en Pratique, elle a expliqué avoir ressenti le besoin d’une nouvelle perspective après 18 années consacrées à la réglementation.
Cependant, la transition vers un nouveau rôle est encadrée par les règles strictes régissant les anciens fonctionnaires irlandais. Dixon est soumise à une période de réflexion de 12 mois, une mesure destinée à prévenir les conflits d’intérêts et le phénomène de la “porte tournante” entre le secteur public et le privé.
« Ainsi, au cours des 12 premiers mois après avoir terminé mes études, pour accepter un contrat ou un emploi, je devrais passer par une série d’approbations et de consentements. J’ai choisi, dans le but d’accepter un travail dans le domaine de la protection des données ou de la réglementation numérique, de ne pas passer par ce processus car, je pense à juste titre, les restrictions qui me seraient appliquées au cours de cette première période seraient tout simplement considérables. »
Helen Dixon, ancienne commissaire du DPC
Dixon a déjà sollicité l’autorisation de rejoindre le conseil d’administration de Repak, une organisation environnementale, en tant qu’administratrice non exécutive indépendante. Elle estime qu’il serait “extrêmement intéressant” de superviser un autre secteur fortement réglementé. Elle espère néanmoins pouvoir revenir dans le domaine de la protection des données et de la réglementation numérique après le 1er mars, date à laquelle la période de réflexion de 12 mois prendra fin.
Lorsqu’on lui a demandé si elle regrettait certaines décisions prises au cours de son mandat, Dixon a exprimé le souhait d’avoir pu consacrer davantage de temps à susciter un débat public plus large sur les enjeux de l’ère numérique, notamment l’équilibre délicat entre sécurité et vie privée, ou entre sécurité nationale et protection des données.
« En réalité, bien sûr, mon temps a été consacré aux détails et aux détails d’enquêtes à très, très grande échelle et de querelles procédurales, et parfois de querelles politiques sur l’Irlande et la place du DPC dans l’ordre européen. »
Helen Dixon, ancienne commissaire du DPC
Interrogée sur la possibilité d’exceptions au Règlement général sur la protection des données (RGPD) pour les petites et moyennes entreprises (PME), Dixon a reconnu les difficultés rencontrées par ces dernières pour se conformer à la réglementation. Toutefois, elle ne pense pas qu’il soit réaliste de moduler les obligations en fonction de la taille de l’entreprise. Elle souligne que l’approche fondée sur les risques, inscrite dans le RGPD, est la plus appropriée, car les risques pour les droits et libertés des individus peuvent exister quelle que soit la taille de l’organisation.
Dixon a évoqué des cas précoces d’application du RGPD, notamment des enquêtes menées par son bureau concernant Tusla, l’agence irlandaise pour l’enfance et la famille. Ces enquêtes ont révélé des failles dans la protection des données de personnes vulnérables, victimes d’abus, dont les informations de localisation avaient été divulguées à des personnes non autorisées en raison d’un manque de masquage des données dans des documents judiciaires.
