Malgré plus de cinq années d’existence du RGPD, le non-respect de ses dispositions entraîne encore de très nombreuses amendes. Ces dernières ciblent notamment les acteurs américains, mais aussi un certain nombre d’entreprises françaises qui semblent persuadées pouvoir passer entre les mailles du filet.

2023 est une fois de plus une année record sur le front des amendes liées aux violations du RGPD, selon la dernière étude de DLA Piper parue au mois de janvier 2024. Les autorités de contrôle européennes ont ainsi délivré un total de 1,78 milliard d’euros (1,94 milliard de dollars) d’amendes entre fin janvier 2023 et fin janvier 2024, ce qui représente une augmentation de plus de 14 % par rapport au total émis au cours de l’année précédente (comprise entre fin janvier 2022 et fin janvier 2023).

L’Irlande, pays de tous les records

L’Irlande reste en pole position cette année avec le plus grand nombre d’amendes émises depuis le 25 mai 2018, date de l’entrée en application du RGPD. Elle prend également la première place pour la plus lourde amende jamais infligée, avec un montant de 1,2 milliard d’euros (1,31 milliard de dollars) émise contre Meta l’année dernière, reléguant le Luxembourg à la deuxième place du podium.

La valeur totale des amendes RGPD émises en Irlande s’élève désormais à 2,86 milliards d’euros (3,12 milliards de dollars). L’Irlande étant un pays très prisé par les entreprises technologiques pour y installer leur établissement principal dans l’Union européenne, il n’est pas surprenant qu’elle se soit hissée à la première place du classement par pays, les plateformes de médias sociaux et les grandes entreprises technologiques étant les principales cibles des amendes record infligées dans le pays.

« La Commission irlandaise de protection des données (Data Protection Commission / DPC) a continué à jouer un rôle central dans l’élaboration des interprétations du RGPD cette année, notamment avec des décisions clés et des amendes sur des questions allant de la transparence et du transfert de données à la sécurité de l’information et à la vie privée des enfants », déclare John Magee, Associé et président du département « Données, vie privée et cybersécurité » chez DLA Piper.

Et John Magee d’ajouter : « Alors que certaines décisions réglementaires clés ont été prises, beaucoup d’entre elles font encore l’objet d’un appel devant les tribunaux irlandais et européens, ce qui conduit à un paysage juridique non résolu après la mise en place du RGPD. Pour les entreprises qui naviguent dans ce cadre évolutif de protection des données, l’équilibre entre l’adaptabilité stratégique et l’efficacité opérationnelle reste une corde raide difficile à franchir ».

Médias sociaux et « big tech », principales cibles des amendes

Les plateformes de médias sociaux et les « big tech » restent la principale cible des amendes record dans l’ensemble des pays étudiés, chacune des dix plus importantes amendes émises depuis le 25 mai 2018 ayant été infligée à des entreprises de ce type.

Le non-respect des principes fondamentaux du RGPD continue d’être le motif le plus fréquemment cité pour les amendes dans l’ensemble des juridictions étudiées. Quant aux manquements au principe de licéité, d’équité et de transparence, ils restent la priorité en matière d’application de la loi. Les amendes résultant de la violation du principe d’intégrité et de confidentialité – et de l’article 32 connexe (sécurité du traitement) continuent également de figurer dans toutes les juridictions étudiées.

Poursuivant la tendance des deux dernières années, il y a eu en moyenne 335 notifications de violation par jour entre le 28 janvier 2023 et le 27 janvier 2024, contre 328 au cours de la même période l’année précédente. Si l’on tient compte de la marge d’erreur, il n’y a effectivement pas de changement d’une année sur l’autre dans le nombre de notifications de violation effectuées. L’Allemagne, les Pays-Bas et la Pologne ont signalé le plus grand nombre de violations de données notifiées entre le 28 janvier 2023 et le 27 janvier 2024, avec respectivement 32 030, 20 235 et 14 167. Le Danemark est en tête du tableau pour le nombre de notifications de violations effectuées pour 100 000 habitants.

En France, 40 millions d’euros d’amende pour Criteo

En France, la CNIL a sanctionné en juin 2023 la société Criteo, lui infligeant une amende de 40 millions d’euros. La CNIL reproche notamment au spécialiste de la publicité en ligne ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.

La lourdeur de la sanction tient notamment au fait que le traitement en cause concerne un très grand nombre de personnes (la société dispose de données relatives à environ 370 millions d’identifiants à travers l’Union européenne) et qu’elle collecte une très grande quantité de données relatives aux habitudes de consommation des internautes. Si la société ne dispose pas du nom de l’internaute, la CNIL a estimé que les données étaient suffisamment précises pour permettre, dans certains cas, de réidentifier les personnes.

La CNIL a retenu cinq manquements au RGPD à l’encontre de la société Criteo :

• Manquement à l’obligation de démontrer que la personne a donné son consentement (article 7.1 du RGPD)
• Manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)
• Manquement au respect du droit d’accès (article 15.1 du RGPD)
• Manquement au respect du droit de retrait du consentement et de l’effacement de ses données (articles 7.3 et 17.1 du RGPD)
• Manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement (article 26 du RGPD)

La CNIL a également infligé à Amazon France Logistique, fin décembre 2023, une amende de 32 millions d’euros pour avoir mis en place un système de surveillance de l’activité et des performances des salariés excessivement intrusif. La société est également sanctionnée pour de la vidéosurveillance sans information et insuffisamment sécurisée.

Enfin, en octobre 2023, la CNIL a sanctionné le Groupe Canal+ d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes. Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et le code des postes et des communications électroniques (CPCE).