Entre amende record et bataille en coulisses, le RGPD fête ses cinq ans sur un bilan contrasté
En cinq ans, près de 4 milliards d’euros d’amendes ont été infligés dans le cadre du RGPD. Un bilan en trompe-l'œil, qui cache en réalité une "incapacité à contrôler la manière dont les géants technologiques utilisent nos données", dénonce Noyb, l'association fondée par Max Schrems.
Juste avant de souffler sa cinquième bougie, le Règlement général sur la protection de données s’est vu offrir un joli cadeau : la plus importante amende jamais imposée depuis son entrée en vigueur le 25 mai 2018. Derrière cette sanction se cache cependant un bilan beaucoup plus contrasté. Et une bataille en coulisses entre les différentes agences nationales devant faire appliquer ce texte.
Fruit de quatre années de négociations à Bruxelles, le RGPD (ou GDPR en anglais) vise à moderniser un cadre législatif dépassé par l’explosion d’Internet pour mieux protéger les données personnelles des citoyens européens. Le texte comprend 99 articles, mettant en place de nouvelles obligations sur la collecte et le traitement des données. Il prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires.
4 milliards d'euros d'amende
Pour appliquer ce nouveau cadre réglementaire, l’Europe a opté pour la solution de “guichet unique” pour les dossiers transfrontaliers, qui concernent plusieurs pays des Vingt-Sept. Cela signifie que les entreprises ne sont plus régulées que par une seule autorité de protection des données, celle du pays où se trouve leur siège social ou leur siège européen. Dans les faits, la majorité des géants américains du numérique sont ainsi contrôlés par la Cnil irlandaise, la DPC.
En faisant le bilan de ces cinq premières années, les plus optimistes se féliciteront des près de 4 milliards d’euros d’amendes infligées en cinq ans dans le cadre du RGPD. Les plus pessimistes souligneront que Meta cumule 2,5 milliards de cette somme. La maison-mère de Facebook, Instagram et WhatsApp a été sanctionnée à cinq reprises par la DPC, jusqu’à l’amende record de 1,2 milliard d’euros reçue lundi 22 mai. Derrière, c’est quasiment le néant. Si Amazon a été condamné à payer 746 millions d’euros par le régulateur luxembourgeois, aucune autre entreprise a dû verser plus de 50 millions d’euros d'amende.
“Le gros problème, c’est que la loi n’est pas appliquée”, déplore l’activiste autrichien Max Schrems, dont l'association Noyb (“None of your business”, soit “ce ne sont pas vos affaires”) est indirectement à l’origine de la dernière amende infligée en Meta, en ayant obtenu en 2020 l’invalidation du Privacy Shield, qui régulait les transferts de données entre l’Europe et les Etats-Unis. “Le delta entre ce qui est écrit sur le papier et les faits est considérable”, poursuit-il, interrogé par l’AFP.
La Cnil irlandaise trop clémente ?
Entre mai 2018 et décembre 2022, les autorités européennes de protection des données ont étudié près de 400 dossiers dans le cadre du RGPD, rappelait récemment le Conseil irlandais pour les libertés civiles (ICCL) dans son dernier rapport annuel. Ces procédures ont débouché sur 159 décisions défavorables, mais principalement sur de simples réprimandes. Seulement 28 amendes ont été infligées. Et seulement 49 mises en demeure ont été prononcées.
“L’Europe demeure incapable de contrôler la manière dont les géants technologiques utilisent nos données”, souligne l’ICCL. Le coupable est tout trouvé : la DPC, qui supervise notamment Google, Meta, Apple, Microsoft, TikTok, Airbnb ou encore Twitter. Et qui “continue d’être un goulot d'étranglement". L’ICCL lui reproche également de conclure un nombre très élevé de résolutions à l’amiable : 46 sur les 54 dossiers que l’autorité a étudiés en cinq ans.
Si la DPC se défend d’être trop clémente envers les géants technologiques américains, son bilan crispe ses homologues européennes. En France, la Cnil française n’a pas hésité à contourner le principe du “guichet unique” pour sanctionner Google, Facebook et Amazon. En outre, le gendarme irlandais a été désavoué à plusieurs reprises par le Comité européen de la protection des données (CEPD), qui regroupe toutes les autorités européennes de protection des données.
Bientôt une réforme
Dans la dernière affaire, la DPC ne souhaitait pas infliger une amende à Meta pour avoir continué à transférer des données personnelles vers les Etats-Unis, malgré l’invalidation du Privacy Shield, estimant qu’une telle sanction serait “disproportionnée”. Mais elle a été contrainte à le faire par le CEPD, notamment sous l’impulsion des régulateurs français et allemand. La DPC a cependant fixé l’amende dans le bas de la fourchette suggérée par ses homologues.
Dans un autre dossier symbolique, la DPC avait également dû condamner plus fortement Meta, pour avoir contourné une disposition du RGPD sur le consentement des internautes pour l’utilisation de leurs données personnelles à des fins publicitaires. Initialement, la DPC souhaitait lui infliger une amende comprise entre 28 et 36 millions d’euros. Désavouée, elle lui avait finalement infligé une amende de 390 millions d'euros.
Face à cette situation, la Commission européenne s’est saisie du dossier. Un projet de réforme doit être annoncé au cours des prochains mois pour améliorer la mise en application du RGPD en Europe. Celui-ci pourrait déboucher sur un rôle moins central pour la DPC. En attendant, Bruxelles a retenu la leçon : ce sont ses services qui vont superviser le Digital Markets Act et le Digital Services Act, ses deux projets phares de réglementation du numérique.
SUR LE MÊME SUJET
Entre amende record et bataille en coulisses, le RGPD fête ses cinq ans sur un bilan contrasté
Tous les champs sont obligatoires
0Commentaire
Réagir