Les 27 autorités de contrôle européennes doivent encore harmoniser leurs démarches. Le Comité européen de la protection des données (CEPD) s’emploie à développer l’uniformisation des méthodologies des organismes de protection des données des différents États membres.
Entré en application le 25 mai 2018, le RGPD (Règlement Européen sur la Protection des Données personnelles) s’appuie sur les autorités de contrôle des 27 États membres de l’UE. Ces dernières constituent pour les entreprises d’un pays donné un « guichet unique ». En cas de doute, une société doit s’adresser à l’autorité de protection des données de l’État membre où se trouve son établissement principal (cette autorité est alors désignée comme l’autorité « chef de file »). L’établissement principal d’une entreprise est soit le lieu de son siège central dans UE, soit l’établissement au sein duquel sont prises les décisions relatives aux finalités et aux modalités du traitement des données personnelles.
Quand les entreprises mettent en œuvre des traitements transnationaux, c’est-à-dire des traitements concernant les citoyens de plusieurs États membres, les autorités de protection des données des différents États concernées sont juridiquement compétentes pour s’assurer de leur conformité.
Mais dans le but de fournir une réponse unique pour l’ensemble du territoire de l’Union, l’autorité « chef de file » coopère avec les autres autorités de protection des données concernées dans le cadre d’opérations conjointes. Les décisions sont adoptées conjointement par l’ensemble des autorités concernées, notamment en termes de sanctions. Les entreprises bénéficient ainsi d’un interlocuteur unique pour l’Union européenne en matière de protection des données personnelles.
Les autorités de protection nationales réunies au sein du CEPD
Toutes les autorités de protection nationales sont réunies au sein d’un Comité européen de la protection des données (CEPD), qui veille à l’application uniforme du droit sur la protection des données. Les membres du CEPD comprennent les chefs des autorités de l’autorité de contrôle de chaque État membre, le Contrôleur européen de la protection des données et, sans droit de vote, les représentants des autorités de la Norvège, de l’Islande et du Lichtenstein. Il est à noter que la Commission européenne peut participer aux activités et réunions du CEPD mais, là aussi, sans droit de vote.
Parmi les 27 autorités de contrôle européennes, la CNIL française est une des plus actives. En 2021, elle a prononcé 18 sanctions, pour un montant de 214 millions d’euros. Ces sanctions comportent 15 amendes (dont cinq avec injonctions sous astreinte) et deux rappels à l’ordre, avec injonctions. Toujours en 2021, les décisions ont concerné des secteurs d’activité et des acteurs très divers. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes et des durées de conservation excessives. Sur ces 18 sanctions, la moitié comporte un manquement en lien avec la sécurité des données personnelles.
Un nombre record de mises en demeure (décision de la présidente de la CNIL ordonnant à un organisme de se mettre en conformité dans un délai maximum de six mois) a également été atteint en 2021, avec 135 décisions prononcées, dont deux rendues publiques (à l’encontre de Clearview et de Francetest) et trois adoptées dans le cadre de la coopération européenne. Cela représente une augmentation très conséquente du nombre de mises en demeure par rapport aux années précédentes (multiplication par un facteur de 2,75).
Le Luxembourg et l’Irlande : les sanctions les plus élevées
Si la CNIL est active sur le front des sanctions, elle n’est cependant pas la plus sévère. L’autorité luxembourgeoise de protection des données, la CNPD (Commission Nationale pour la Protection des Données) a infligé en août 2021 le montant le plus élevé à ce jour, à l’encontre d’Amazon : 746 millions d’euros. Le spécialiste du e-commerce a fait appel de cette amende record.
Quant à la CNIL irlandaise, la DPC (Data Protection Commission), elle a sanctionné WhatsApp (filiale de Meta, ex-Facebook) à hauteur de 225 millions d’euros en septembre 2021. Ce montant était initialement compris entre 30 et 50 millions d’euros. L’action de huit autorités nationales de protection des données européennes, qui reprochaient à la DPC le montant trop bas de cette amende, a permis de déclencher le mécanisme de résolution des conflits du RGPD. C’est donc le CEPD (Comité européen pour la protection des données) qui a pris la main et imposé les 225 millions d’euros à la DPC irlandaise. WhatsApp a décidé de faire appel de cette décision.
La CNIL allemande, la « Bundesbeauftragte für den Datenschutz und die Informationsfreiheit » a, elle, condamné H&M en octobre 2020 à une amende d’un peu moins de 35,3 millions d’euros. Le Commissaire fédéral allemand à la protection des données et à la liberté d’information reprochait à la filiale allemande du groupe suédois d’avoir récolté et stocké illégalement des données personnelles sur plusieurs centaines de ses salariés entre 2014 et 2019, ce qui constituait une surveillance illégale de ces derniers. Une étude publiée par l’éditeur de solutions de cybersécurité ESET détaille les amendes infligées par les CNIL européennes depuis 2018.
Une harmonisation des méthodologies nécessaires entre CNIL européennes
En mai 2022, le Comité européen de la protection des données a d’ailleurs adopté une ligne directrice visant à harmoniser les méthodes de calcul des amendes administratives adoptées par les autorités nationales. Cette ligne directrice établit des « points de départ » harmonisés pour le calcul d’une amende et relève que trois éléments doivent être en pris en compte : la catégorisation des infractions par nature, la gravité de l’infraction et le chiffre d’affaires de l’entreprise.
Cette ligne directrice fait notamment référence à l’amende infligée par la CNIL irlandaise à WhatsApp. Même si le montant a été revu à la hausse, les 225 millions d’euros ne représentent que 0,08 % du chiffre d’affaires de Facebook, alors que le RGPD prévoit des amendes pouvant aller jusqu’à 4 % des revenus mondiaux d’une entreprise. L’effort de coordination et de lissage des méthodologies entre toutes les autorités de contrôle européennes est donc un véritable chantier pour les années à venir.