RGPD : La France est le pays qui inflige les amendes les plus lourdes

Quel bilan un an et demi après l'entrée en vigueur du Règlement général sur la protection des données (RGPD) ? Depuis mai 2018, les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, selon une étude du cabinet d'avocats anglais DLA Piper* publiée le 20 janvier 2020.

Le document comptabilise 160 000 notifications pour violation de la législation européenne. Le taux de notification de ces violations a augmenté de 12% en 2019. Les Pays-Bas, l'Allemagne et le Royaume-Uni arrivent en tête pour le nombre de violations de données notifiées aux régulateurs nationaux avec 40 647, 37 636 et 22 181 notifications chacun.

La France au sommet des plaintes

A ce jour, la plus grosse amende liée au RGPD a été la sanction infligée par la France à Google. Dans une décision du 21 janvier 2019, la Commission nationale de l'informatique et des libertés (Cnil) a administré une amende de 50 millions d'euros au géant américain pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. L'Allemagne et l'Autriche sont à la deuxième et troisième place en valeur total des amendes avec 24,5 millions et 18 millions d'euros respectivement.

A noter que l'Irlande n'a encore infligé aucune amende au titre du RGPD alors qu'elle reçoit bon nombre de plaintes, mais surtout qu'elle est le siège européen de nombreux géants technologiques (Google, Facebook, Apple, Dell…). Entre 2013 et 2018, les plaintes ont bondi de 50 %, en passant de 910 à 2864. Pour comparaison, la Cnil en a reçu 11 000 en 2018, or la France compte beaucoup plus d'habitants. En proportion, la Data Protection Commission reçoit 2,5 fois plus de plaintes que son équivalent français.

Manque d'uniformité sur le montant des sanctions

Point intéressant soulevée par l'étude : le manque de clarté concernant le calcul du montant des amendes. "Demandez à deux régulateurs comment les amendes doivent être calculées et vous obtiendrez deux réponses différentes", explique Patrick Van Eecke, avocat chez DLA Piper. La seule règle sur les sanctions prévue par le RGPD est la suivante : le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros, ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel. Ces seuils induisent une forme d'insécurité juridique voire d'inégalité en fonction du pays où l'affaire va être jugée car le quantum de la peine n'est défini que par un maximum.

Ces amendes sont-elles suffisantes ? La réponse semble plutôt négative quand on voit le peu de sites qui respectent les obligations du RGPD sur les cookies. D'après une étude scientifique, seul un site sur dix respecte les règles de consentement. De plus, les sanctions infligées par les régulateurs tranchent avec celles prises par la Commission européenne dans les enquêtes antitrust. En mars 2019, par exemple, l'exécutif européen a infligé une amende de 1,49 milliard d'euros à Google pour avoir cherché à étouffer la concurrence de ses produits AdSense et Search. Un montant beaucoup plus prohibitif.

Mais les avocats de DLA Pipers sont plutôt optimistes. A l'avenir, les Cnil européennes devraient réussir à uniformiser le montant de leurs sanctions voire les rendre plus prohibitives. "Ce sera un lent progrès pour obtenir la sécurité juridique dont les régulateurs ont besoin pour commencer à frapper les entreprises avec des amendes plus élevées", conclut Ross McKean, avocat chez DLA Pipers.

*Méthodologie : Le cabinet a agrégé les statistiques tenues par chaque régulateur européen mises à la disposition du public. Mais pour certains Etats, l'étude a dû arrondir les chiffres voire procéder à des projections par manque d'information.

Sélectionné pour vous

Des députés ont rédigé un amendement avec ChatGPT, afin d'alerter sur les risques de l'IA

Microsoft voit le Digital Markets Act comme un appui pour son projet d’app store Xbox

La Cnil autrichienne juge illégaux les outils de pistage publicitaire de Meta