RGPD : 2,7 Mds€ d’amendes infligées
Étude. Le cabinet CMS publie une analyse à l’échelle européenne du contentieux lié à l’application du RGPD entré en vigueur il y a cinq ans.
Les autorités européennes de protection des données ont fait un usage intensif des options de sanction du Règlement général sur la protection des données (RGPD). C’est ce que montre une analyse à l’échelle européenne réalisée à l’occasion du cinquième anniversaire de son entrée en vigueur. Les amendes liées à la protection des données portent sur un montant total de 2,7 Mds€ dans plus de 1 500 dossiers.
Ces conclusions ont été publiées récemment par le cabinet CMS dans la quatrième édition de son rapport annuel Enforcement Tracker Report. Moins de deux mois après l’entrée en vigueur du RGPD, le 25 mai 2018, la première amende au titre de la nouvelle loi (presque) entièrement harmonisée sur la protection des données a été infligée au Portugal : 400 000 € d’amende ont été infligés à l’exploitant d’un hôpital pour avoir rendu les données des patients trop largement accessibles.
Dès lors, le nombre de dossiers publics et le montant des amendes prononcées n’ont cessé d’augmenter. Les dossiers imposant des amendes particulièrement élevées, tels que les premiers cas impliquant des montants à deux ou trois chiffres, ont attiré une attention particulière.
En France, en janvier 2019, une première amende de 50 M€ a été infligée à Google LLC puis deux autres en décembre 2021 d’un montant de 90 M€ contre Google LLC et de 60 M€ contre Google Ireland Limited. Au Luxembourg, Amazon s’est vu condamnée à verser une amende de 746 M€ en juillet 2021, le record à ce jour. Au cours de la période d’analyse actuelle, entre mars 2022 et mars 2023, 545 nouvelles amendes connues du public ont été prononcées.
Cela porte à 1 576 le nombre total de dossiers depuis la fin du mois de mai 2018. La valeur totale de toutes les amendes s’élève à environ 2,77 Mds€ (+1,19 Md€ sur la dernière période). Le principal moteur de l’augmentation de la valeur a été plusieurs affaires avec des amendes de plusieurs centaines de millions d’euros, toutes imposées par l’autorité irlandaise de protection des données cette année, contre de grandes entreprises technologiques, telles que Meta Platforms, maison mère de Facebook pour successivement 405 M€, 390 M€ et 265 M€, soit un total cumulé de 1,06 Md€.
Cette année encore, l’infraction la plus courante est l’insuffisance de la base juridique du traitement des données, qui est à l’origine de cinq des dix amendes les plus élevées dans toute l’Europe. Les autres motifs d’amende sont le nonrespect des « principes généraux de protection des données » et l’insuffisance des mesures visant à garantir la sécurité de l’information. Les entreprises du secteur de la vente aux consommateurs sont plus souvent dans le collimateur des autorités chargées de la protection des données.
Dans les secteurs de l’industrie et du commerce d’un côté, et des médias, des télécommunications et de la radiodiffusion de l’autre, 358 et 213 amendes ont été infligées respectivement, soit au total plus de la moitié de toutes les amendes prononcées au cours de la période d’analyse actuelle. Les amendes les plus élevées et les plus fréquentes dans ces secteurs concernaient la base juridique du traitement des données, le non-respect des principes de protection des données et l’insuffisance des mesures de sécurité de l’information. Un nombre important d’amendes concerne la vidéosurveillance dans différents secteurs et par des particuliers, ainsi que la publicité directe non autorisée.