13 juin 2023
Lecture 3 mn
Bilan RGPD : Plus de 2,5 milliards d’euros d’amendes infligées en 5 ans
L’entrée en vigueur du règlement général sur la protection des données (RGPD), en mai 2018, avait suscité des quant aux possibilités de le faire respecter par les entreprises, notamment les surpuissantes GAFAM1. Cinq ans plus tard, un bilan établi par plusieurs médias, dont Le Monde2, semble montrer que le montant des amendes est en forte augmentation et que le modèle est finalement adopté par de plus en plus d’États dans le monde entier.
Mis en place définitivement après quatre années d’âpres négociations juridiques au sein de l’Union européenne, le règlement général sur la protection des données (RGPD) avait pour principal objectif d'accroître la protection des données à caractère personnel et de responsabiliser les acteurs qui sont amenés à les traiter. Un règlement qui prévoit des mesures coercitives, en autorisant les 27 États membres à imposer aux contrevenants des amendes administratives. Et il semble qu’ils s’en privent de moins en moins, à en croire les montants infligés2 : plus de 2,5 milliards d’euros entre 2018 et 2022. L’amende la plus lourde - 1,2 milliard d’euros - a été prononcée en 2023 par l’autorité de contrôle irlandaise à l’encontre du groupe Meta, auquel il est reproché les transferts de données d’utilisateurs européens de Facebook vers les Etats-Unis. Amende qui intervenait après une autre en janvier de 390 millions d’euros pour la même organisation à la suite de l’utilisation de données personnelles dans le cadre de contrats publicitaires.
Les 10 plus grosses amendes concernent toutes sans grande surprise les GAFAM
Parmi les autres peines records prononcées, on trouve celle infligée à Amazon en 2021 par l’autorité de contrôle luxembourgeoise, pour un montant de 746 millions d’euros, à la suite d’une plainte déposée en France par l’association La Quadrature du Net. Sur les 10 plus grosses amendes délivrées en Europe, qui concernent toutes sans grande surprise les GAFAM3, 7 visaient le groupe Meta (pour l’utilisation des données, selon les cas, soit sur Facebook, soit sur Instagram ou WhatsApp), 2 concernaient Google (90 millions d’euros et 60 millions d’euros, toutes deux en 2021) et 1 Amazon, donc.
Quant à la France, où la CNIL (Commission nationale de l’informatique et des libertés) est le seul organisme à pouvoir prononcer des sanctions liées au RGPD, plus de 83 millions d’euros d’amendes ont été infligées depuis 2019 (0 euro en 2018), dont 25,2 millions d’euros en 2022. Si l’on ajoute au Règlement général sur la protection des données les mesures prises en ce qui concerne les manquements à la loi informatique et liberté ou la directive ePrivacy sur les cookies, la CNIL a prononcé pour la seule année 2022 un montant cumulé d’un peu plus d’un demi-milliard d’euros2.
Depuis l’adoption du RGPD en Europe, de nombreux pays ont également décidé de suivre cet exemple et de se doter d’une réglementation plus stricte en matière d’utilisation des données personnelles. C’est notamment le cas d’Andorre, de l'Argentine, du Canada (uniquement pour les traitements dits « commerciaux »), d’Israël, des îles Féroé, du Japon, de la Nouvelle-Zélande, de la Suisse, de l'Uruguay, des îles anglo-normandes Jersey et Guernesey ainsi que de l'Île de Man.
1 Acronyme qui désigne Google (Alphabet), Apple, Facebook (Meta), Amazon et Microsoft, soit les cinq grandes firmes américaines qui dominent le marché du numérique.