Une analyse à l'échelle européenne réalisée à l'occasion du cinquième anniversaire de l’entrée en vigueur du Règlement général sur la protection des données rapporte des amendes liées à la protection des données d'un montant total de 2,7 Mrds€ dans plus de 1 500 dossiers.
Au cours des cinq dernières années, les autorités européennes de protection des données ont fait un usage intensif des options de sanction du Règlement général sur la protection des données (RGPD).
Ces conclusions sont publiées aujourd'hui par le cabinet CMS dans la quatrième édition de son rapport annuel 'Enforcement Tracker Report'.
- Les autorités européennes chargées de la protection des données ont infligé des amendes d'un montant total de plus de 2,7 Mrds€ dans plus de 1 500 dossiers publics pour des violations du Règlement général sur la protection des données, en vigueur depuis cinq ans.
- L'année dernière encore, le montant total des amendes a augmenté. Les principales causes de cette augmentation sont les amendes infligées aux grandes entreprises du secteur des nouvelles technologies, qui s'élèvent chacune à plusieurs centaines de millions. Ces dossiers ne sont que la partie émergée de l'iceberg - les autorités chargées de la protection des données poursuivent les violations du Règlement dans tous les secteurs d'activité et toutes les tailles d'entreprise.
- Le risque d'amendes est particulièrement élevé dans le secteur de la vente aux consommateurs, comme l'industrie et le commerce ou les médias, les télécommunications et la radiodiffusion. Disposer d'une base juridique solide pour le traitement des données et les mesures de sécurité de l'information devrait être une priorité pour la gestion des risques.
- Outre les amendes, les autorités de protection des données peuvent restreindre ou interdire le traitement des données, comme l'a récemment démontré l'autorité italienne de protection des données, Garante, dans le cas d'un fournisseur d'IA générative.
Moins de deux mois après l'entrée en vigueur du RGPD, le 25 mai 2018, la première amende au titre de la nouvelle loi (presque) entièrement harmonisée sur la protection des données a été infligée au Portugal : 400 000€ ont dû être payés par l'exploitant d'un hôpital pour avoir rendu les données des patients trop largement accessibles. Dès lors, le nombre de dossiers publics et le montant des amendes infligées n'ont cessé d'augmenter. Les dossiers imposant des amendes particulièrement élevées, tels que les premiers cas impliquant des montants à deux ou trois chiffres, ont attiré une attention particulière : France, 50 M€ en janvier 2019 et Luxembourg, 746 M€ en juillet 2021.
Au cours de la période d'analyse actuelle, entre mars 2022 et mars 2023, 545 nouvelles amendes connues du public ont été infligées. Cela porte à 1 576 le nombre total de dossiers depuis la fin du mois de mai 2018. La valeur totale de toutes les amendes s'élève à environ 2,77 Mrds€ (+1,19 Mrd€) et a dépassé pour la première fois la barre des deux milliards d'euros. Le principal moteur de l'augmentation de la valeur a été plusieurs affaires avec des amendes de plusieurs centaines de millions d’euros contre de grandes entreprises technologiques, toutes imposées par l'autorité irlandaise de protection des données cette année.
Cette année encore, l'infraction la plus courante est l'insuffisance de la base juridique du traitement des données, qui est à l'origine de cinq des dix amendes les plus élevées dans toute l'Europe. Les autres motifs d'amende sont le non-respect des "principes généraux de protection des données" et l'insuffisance des mesures visant à garantir la sécurité de l'information.
Les entreprises du secteur de la vente aux consommateurs sont plus souvent dans le collimateur des autorités chargées de la protection des données. Dans les secteurs de l'industrie et du commerce et des médias, des télécommunications et de la radiodiffusion, 358 et 213 amendes ont été infligées respectivement, soit au total plus de la moitié de toutes les amendes infligées au cours de la période d'analyse actuelle. Les amendes les plus élevées et les plus fréquentes dans ces secteurs concernaient la base juridique du traitement des données, le non-respect des principes de protection des données et l'insuffisance des mesures de sécurité de l'information. Un nombre important d'amendes concerne la vidéosurveillance (CCTV) dans différents secteurs et par des particuliers, ainsi que la publicité directe non autorisée.