Selon la dernière édition de l’étude GDPR Fines and Data Breach Survey du cabinet d’avocats DLA Piper, les autorités chargées de la protection des données en Europe ont infligé une somme de 1,2 Md€ l'année dernière. Pour la période commençant le 28 janvier 2024, cela représente une baisse de 33% par rapport aux amendes de l’année précédente. Il s’agit de la première baisse des sanctions financières d’une année sur l’autre, a-t-il déclaré, même si l’année 2023 a été inhabituelle : l’Irlande a infligé à Meta une amende record de 1,2 Md€ cette année-là, et aucune peine comparable n’a été imposée en 2024.

Au total, les sanctions infligées depuis l'entrée en vigueur des normes européennes de protection des données personnelles en mai 2018 s'élèvent à 5,88 Md€. Les fournisseurs IT en particulier ont été particulièrement ciblées car la quasi-totalité des dix amendes les plus élevées infligées depuis 2018 concernent ce secteur d'activité, y compris les amendes de 310 M€ infligées à Linkedin par l'autorité irlandaise en 2024 et une amende de 251 M€ à Meta.

Le RGPD reste un instrument puissant 

« Les résultats de cette année montrent que les autorités de la protection des données en Europe continuent de suivre une ligne claire » a commenté Jan Geert Meents, partenaire au sein de DLA Piper, sur les derniers résultats de l'étude. La baisse du volume total des amendes est en fin de compte due à des événements extraordinaires survenus l'année précédente et ne signifie pas un ralentissement des activités de régulation. « Le RGPD reste un outil puissant pour garantir la protection des données et promouvoir la conformité ».

Les associations défendant la vie privée ont en revanche un regard beaucoup plus sobre sur la situation actuelle en termes de procédures et d‘amende. Noyb (None of your business) et son dirigeant Max Schrems parlent même de « l’inactivité des autorités nationales de protection des données ». En moyenne seulement 1,3 % de tous les cas portés devant les autorités chargées de la protection des données aboutissent à une amende, rapportent les militants, citant les statistiques du Comité européen de la protection des données (EDPB)

Les procédures sont trop longues

L'idée selon laquelle le règlement européen aurait entraîné une évolution vers une approche sérieuse de la protection des données personnelles s'est largement révélée être un vœu pieux, selon une déclaration de Noyb. « Les autorités européennes disposent de tous les moyens nécessaires pour sanctionner de manière adéquate les violations du RGPD et infliger des amendes qui empêcheraient des manquements similaires à l'avenir », déclare le co-fondateur de Noyb. « Au lieu de cela, ils font souvent traîner les négociations pendant des années pour finalement prendre trop souvent des décisions contraires aux intérêts du plaignant. »

Les militants parlent d'un phénomène spécifique en matière de protection des données. En 2022, par exemple, la Cnil espagnole a reçu 15 128 plaintes. Cependant, seules 378 amendes ont été infligées, y compris des violations évidentes telles que des demandes d'informations restées sans réponse ou des bannières de cookies illégales, qui pourraient théoriquement être traitées rapidement et de manière standardisée. Des chiffres similaires s'appliqueraient à pratiquement tous les autres États membres de l'UE. « D’une manière ou une autre, seules les autorités chargées de la protection des données personnelles ne peuvent pas être incitées à appliquer réellement la loi qui leur est confiée », critique Max Schrems. « Dans tous les autres domaines, les violations de la loi entraînent régulièrement des amendes et des sanctions. Les régulateurs agissent souvent dans l’intérêt des entreprises plutôt que dans celui des personnes concernées », soupçonne le dirigeant.

Les amendes incitent à la conformité

Ce sont précisément les amendes qui motivent les entreprises à se conformer à la loi, rapporte l'association, citant sa propre enquête. Deux tiers des personnes interrogées ont déclaré que les décisions qui affectent leur propre entreprise et impliquent une sanction conduisent à une plus grande conformité. Six personnes interrogées sur dix admettent également que même les peines imposées à d'autres organisations ont un impact sur leur propre entreprise.

En fait, l'orientation des Cnil pourrait quelque peu changer, ce qui pourrait conduire à l'imposition d'amendes supplémentaires. DLA Piper fait référence à une annonce de l'autorité néerlandaise qui souhaite déterminer si les dirigeants de Clearview AI pourraient être tenus personnellement responsables de nombreuses violations au règlement européen. Et ce après qu'une amende de 30,5 M€ ait été infligée à l'entreprise. « L'accent croissant mis sur la responsabilité personnelle des dirigeants marque une étape dans l'application du RGPD », commente Verena Grentzenberg, associée chez DLA Piper en Allemagne. Elle estime que « cela envoie un signal clair aux entreprises : les violations de la protection des données ne resteront pas sans conséquences, même au niveau des personnes concernées.»