Alors que le Règlement général sur la protection des données fête son 5e anniversaire, sa mise en application se caractérise par de très nombreuses amendes infligées aux grands acteurs américains. Retour sur cinq années mouvementées.
Entré en application le 25 mai 2018, le RGPD fête ses cinq ans d’existence. Pour de très nombreuses entreprises, la “rencontre” avec le Règlement général sur la protection des données s’est traduite par de lourdes amendes. Entre les mois de mai 2018 et 2023, le nombre total de sanctions financières s’est en effet élevé à 1 641, pour un montant total de 2,78 milliards d’euros.
Les trois plus grosses sanctions ont à ce jour concerné Amazon (746 millions d’euros en 2021, à l’initiative du Luxembourg), Meta Platforms Ireland Ltd, alias Meta IE (405 millions d’euros en 2022, à l’initiative de l’Irlande), et à nouveau Meta IE (265 millions d’euros en 2018, toujours en Irlande).
D’autres entreprises ont elles aussi été verbalisées, mais pour des montants moins importants. C’est le cas de British Airways (22 millions d’euros en 2020), Marriott International (20 millions d’euros en 2020), TikTok (14,5 millions d’euros en 2023) et Vodafone Italia (12,2 millions d’euros en 2020).
Les trois pays les plus verbalisateurs sont l’Irlande (1,3 milliard d’euros), le Luxembourg (746 millions d’euros) et la France (428 millions d’euros). En nombre de sanctions, l’Espagne se hisse sur la première marche du podium avec 640 procédures, devant l’Italie (260 sanctions) et l’Allemagne (148 sanctions).
Les principaux types de violations sont la non-conformité avec les principes généraux du traitement des données (1,6 milliard d’euros), une base juridique insuffisante pour le traitement des données (431 millions d’euros) et des mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l’information (377 millions d’euros).
Enfin, les secteurs les plus touchés par les sanctions sont le secteur des médias, télécoms et radiodiffusions (1,7 milliard d’euros), l’industrie et le commerce (858 millions d’euros) et le secteur des transports et de l’énergie (65 millions d’euros).
La CNIL très active en France
En France, la CNIL a elle aussi été active. Depuis 2018, ce sont pas moins de 71 sanctions qui ont été prononcées, pour plus de 500 millions d’euros d’amendes. Il est par ailleurs à noter que 421 mises en demeure ont été émises en cinq ans.
Les plus grosses sanctions concernent Google LLC (90 millions d’euros en 2021), Google Ireland Ltd (60 millions d’euros en 2021) et Facebook Ireland Ltd (60 millions d’euros en 2021). D’autres entreprises ont elles aussi été sanctionnées, parmi lesquelles se trouvent Clearview Al Inc. (20 millions d’euros en 2022, auxquels sont venus s’ajouter 5,2 millions d’euros d’astreinte en avril 2023), Carrefour France (2,25 millions d’euros en 2020) et AG2R La Mondiale (1,75 million d’euros en 2021).
Selon le 7e baromètre de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel), paru en mars 2023, 41 % des DPO considèrent qu’il y a encore du chemin à faire avant de considérer que les données de leur organisation sont bien protégées.
De multiples bénéfices pour les entreprises conformes
La mise en œuvre du RGPD s’est faite jusqu’à présent dans la douleur financière, surtout pour les grandes plateformes américaines telles que les GAFAM. Et pourtant, les bénéfices d’une conformité au RGPD sont multiples. Respecter les dispositions du Règlement général sur la protection des données, c’est respecter de très nombreux droits auxquels les citoyens européens sont désormais de plus en plus attachés : droit à l’information, à l’accès, à la rectification, à l’oubli, à la portabilité des données… Se conformer aux règles du règlement européen, c’est enclencher un processus de restauration, puis de consolidation, de la confiance accordée par les clients et consommateurs à une entreprise.
Le RGPD permet également aux organisations de toute taille, dans tous les secteurs, de ne manipuler que les données essentielles à leurs activités. Le RGPD empêche notamment l’utilisation de données sensibles comme les données de santé, les opinions politiques, les convictions religieuses ou philosophiques ou bien encore l’appartenance syndicale d’une personne.
En résumé, le RGPD – quand il est correctement appliqué – permet à l’entreprise une meilleure gestion des risques, lui évitant notamment de s’exposer à des risques financiers et de réputation inutiles.
Sources :
- Enforcement Tracker, mai 2023 – https://www.enforcementtracker.com/?insights
- Commission Nationale de l’Informatique et des Libertés – CNIL
- Secure Privacy – https://secureprivacy.ai/blog/eu-companies-are-not-compliant-with-gdpr
- 7e baromètre de l’AFCDP – Association Française des Correspondants à la protection des Données à caractère Personnel, 2023 – https://afcdp.net/dans-la-presse/
- Cisco – https://www.cisco.com/c/en/us/about/trust-center/data-privacy-benchmark-study.html#~about-the-study