Recevez chaque jour toute l'actualité du numérique

x

Avec 1,2 milliard d'euros d'amendes, l'année 2021 marque-t-elle un tournant dans le respect du RGPD ?

En 2021, le montant des amendes infligées dans le cadre du RGPD a été multiplié par 7 par rapport à l'année précédente. Il a atteint 1,2 milliard d'euros avec la sanction record de 746 millions d'euros infligée à Amazon par le Luxembourg. La Cnil se place en seconde position. A l'occasion de la Journée de la protection des données ce vendredi 28 janvier, L'Usine Digitale revient sur cette année qui semble marquer un tournant dans l'application de la loi sur la protection des données personnelles.   
Twitter Facebook Linkedin Flipboard Email
×

Avec 1,2 milliard d'euros d'amendes, l'année 2021 marque-t-elle un tournant dans le respect du RGPD ?
Avec 1,2 milliard d'euros d'amendes, l'année 2021 marque-t-elle un tournant dans le respect du RGPD ? © Pixabay/TheDigitalArtist

En 2021, près de 1,2 milliard d'euros d'amendes ont été infligées pour des violations du Règlement général sur la protection des (RGPD), d'après le décompte de Data Legal Drive, éditeur d'un logiciel de conformité au RGPD. Ce qui équivaut à une multiplication par 7 par rapport à l'année précédente. 

Le Luxembourg en pole position
Sans grande surprise, c'est le Luxembourg qui remporte la première place avec la sanction record de 746 millions d'euros prononcée contre Amazon par la Commission nationale pour la protection des données (CNPD). La Commission nationale de l'informatique et des libertés (Cnil) est en deuxième position avec 214 millions d'euros infligés en 2021. L'amende la plus haute a été infligée à l'AGR2 La Mondiale, qui a écopé d'une amende de 1,75 millions d'euros pour la violation de deux obligations du RGPD : la limitation des durées de conservation des données et la transmission d'informations à ses adhérents. Vient ensuite la sanction de 500 000 euros infligée à Brico Privé, éditeur d'un site de ventes privées de bricolage, de jardinage et d'aménagement de la maison. 

L'Irlande est à la quatrième place du classement. La Data Protection Commission (DPC) a infligé une amende de 225 millions d'euros à WhatsApp à l'issue de plusieurs années de procédures. Au-delà de la sanction pécuniaire, la filiale de Meta a été enjointe de réécrire sa politique de confidentialité afin d'ajouter les dispositions manquantes ou rendre celles déjà existantes plus claires pour les utilisateurs.

qui a peur du RGPD ?
Mais cette augmentation du montant des sanctions ne doit pas cacher la réalité : le RGPD reste peu appliqué et n'est pas réellement menaçant en particulier pour les grandes entreprises technologiques. Comparé à leur chiffre d'affaires, le montant des sanctions reste ridicule. Pour rappel, en vertu du RGPD, le montant des sanctions peut s'élever jusqu'à 4% du chiffre d'affaires annuel mondial. C'est ainsi que Meta provisionne un milliard d'euros pour faire face à d'éventuelles amendes des autorités de protection des données. En 2020, la provision s'établissait à 302 millions euros. 

Par ailleurs, la sanction n'est pas une fin en soi. Le plus important reste que les pratiques jugées non conformes changent. Sur ce point, les choses se compliquent. La preuve en est avec les nombreuses procédures liées à WhatsApp dont la finalité est presque toujours la même : vérifier que les conditions d'utilisation et la politique de confidentialité de la messagerie sont conformes au droit européen en terme de protection des données personnelles et de lisibilité pour les utilisateurs. La Commission européenne et le réseau des autorités nationales de protection des consommateurs (CPC) viennent de lui envoyer une lettre pour lui demander de clarifier ces deux points d'ici fin février 2022. 

Démission en interne en Belgique
En interne, la situation est également délicate. En décembre dernier, Alexandra Jaspar, l'une des 5 personnes qui dirige l'Autorité de protection des données (APD) en Belgique, a démissionné en dénonçant le manque d'indépendance de certains membres et l'impossibilité d'appliquer réellement la loi. La Data Protection Commission est aussi sévèrement critiquée pour son manque d'action face aux grandes entreprises technologiques qui ont pour la plupart leur siège européen à Dublin. Problème : en vertu du mécanisme du "guichet unique" prévu par le RGPD, une société traitant des données dans un contexte transfrontalier n'a pour interlocutrice qu'une seule autorité de protection des données, à savoir l'autorité de l'Etat membre dans lequel est situé son établissement principal. La DPC est donc le principal régulateur des grandes entreprises technologiques. 

De son côté, la Commission européenne défend le bilan de la DPC, qui est pourtant très mauvais à en croire les chiffres révélés par l'association autrichienne Noyb : seules 0,07% des plaintes introduites devant la DPC aboutissaient. Didier Reynders, commissaire européen à la justice, y voit de la "prudence". Il disait ne pas avoir "encore identifié de problèmes avec les règles irlandaises de protection des données ou n'a pas de preuves que ces règles n'ont pas été respectées". 

Bruxelles accusé de mal appliquer le RGPD
Mais la Commission est elle-même accusée de mal appliquer le RGPD. Le Conseil des libertés civiles (ICCL), une organisation non gouvernementale (ONG) spécialisée dans la défense des droits de l'Homme, a déposé en novembre dernier une plainte devant le Médiateur européen, une instance de médiation ayant pour mission d'enquêter sur les cas de mauvaise administration des institutions européennes. 

L'ONG accuse l'autorité irlandaise de ne pas suffisamment agir contre les éventuelles violations de la loi européenne sur la protection des données mais elle lui reproche également de fermer les yeux. "Non seulement la Commission n'a pas agi mais elle n'a pas même pas recueilli d'informations pour savoir si elle devait agir", expliquait Johnny Ryan, chargé de mission à l'ICCL.

Pour régler une partie de ces problèmes, certains experts appellent à l'abolition du principe du guichet unique. D'autres estiment que cela éroderait le marché commun, l'un des piliers fondateurs de l'Union européenne. "Cela supprimerait l'un des premiers piliers du droit européen et signifierait qu'une entreprise, au lieu d'être soumise à une unique autorité, serait soumise à 27 autorités", a déclaré une source au Financial Times.

La jurisprudence pourrait modifier l'application du RGPD
Lors de sa présidence au Conseil, la France ne semble pas vouloir modifier ce principe. En pratique, les choses pourraient changer. En effet, dans une décision rendue le 15 juin 2021, la Cour de justice de l'Union européenne a décidé qu'une autorité nationale pouvait porter une prétendue violation du RGPD devant une juridiction d'un Etat membre même si elle n'est pas chef de file. Ce litige opposait la Belgique et Facebook, qui soutenait que les autorités de ce pays ne sont pas compétentes puisque son siège européen se trouve en Irlande.

Les erreurs du passé doivent servir d'exemple, avait fait comprendre Cédric O, le secrétaire d'Etat à la transition numérique et aux communications électroniques, lors d'une interview à L'Usine Digitale. "Vous aurez noté que la proposition du Conseil s’agissant de l’application du DSA (Digital Markets Act) est de renvoyer à la Commission européenne elle-même la gestion des très grandes plateformes", avait-il déclaré. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.