Le montant des amendes dans le cadre du RGPD a dépassé les 2,8 milliards d’euros en cumulé depuis l’entrée en vigueur effective du texte, il y a cinq ans. Trois pays sont à l’origine de l’essentiel des sanctions.

Le 25 mai 2023 marque le cinquième anniversaire de l’entrée en vigueur du Règlement général sur la protection des données (RGPD). Plus exactement, du début de son application. Ce texte, qui impose de nouvelles obligations aux organismes qui manipulent des données personnelles, et de nouveaux droits aux individus, se fond désormais largement dans le paysage juridique européen.

Le RGPD prévoit la possibilité d’infliger une peine allant jusqu’à 4 % du chiffre d’affaires de l’entreprise, ou 20 millions d’euros. C’est le montant le plus important qui est retenu.

Cinq années durant lesquelles les instances chargées de veiller à la protection et au bon usage des données personnelles ont été amenées à prononcer des peines contre les entreprises ne respectant pas ce cadre. Et en cinq ans, ce sont des milliards d’euros qui ont été réclamés aux contrevenants.

C’est ce qui ressort du dernier rapport du cabinet d’avocats international DLA Piper, paru en janvier 2023. Selon son tableau de suivi, les amendes cumulées depuis le 25 mai 2018 ont dépassé les 2,8 milliards d’euros. On est aujourd’hui très loin du total des sanctions que DLA Piper comptabilisait un peu plus d’un an après la mise en route effective du RGPD.

Un rapport qui s’avère déjà presque obsolète, tant les sanctions tombent désormais régulièrement. La preuve : Doctissimo et Cityscoot ont reçu des amendes après le rapport de DLA Piper (respectivement 380 000 et 127 000 euros), tandis que Meta, la maison mère de Facebook, a reçu une peine record de 1,2 milliard d’euros au mois de mai.

Trois pays à l’origine des peines les plus lourdes

Autre constat : la France, qui était un temps la championne des amendes prises au nom du RGPD, a cédé la première place. C’est désormais l’Irlande qui est en tête, avec plus de 1,3 milliard d’euros en date de janvier 2023, suivi du Luxembourg (plus de 746 millions d’euros). La France reste sur le podium, avec des sanctions cumulées atteignant 428 millions d’euros.

Source : Capture d'écran
Le montant cumulé des amendes prises au nom du RGPD, pays par pays. // Source : DPA Piper

L’avance de l’Irlande et du Luxembourg dans ce classement n’est pas surprenante : ce sont dans ces pays que les plus grands groupes de la tech ont basé leur quartier général pour l’Europe. Les autorités de protection de ces pays sont donc, de fait, en première ligne. Le RGPD prévoit en effet un système de guichet unique et d’autorité de contrôle cheffe de file, en cas d’alerte.

En comparaison de l’Irlande, du Luxembourg et de la France, les autres pays de l’Union européenne sont extrêmement loin. L’absence de géant du net sur le sol de ces pays est l’une des clés d’explication de l’écart important avec le trio de tête. Faute d’un Facebook à punir sur leur sol, les autorités de protection se rabattent sur des entreprises de taille moindre.

Même en additionnant les amendes de tous les autres pays du top, on atteint tout juste le niveau de sanction de la Commission nationale de l’informatique et des libertés (Cnil). Dans le cadre du RGPD, les amendes sont ajustées à la taille des sociétés, à leur situation économique ainsi qu’à la nature des infractions et la gravité des faits.

Source : ICCL
75 % des décisions de la Cnil irlandaise ont été retoquées par l’instance européenne de protection des données. // Source : ICCL

Bien que le RGPD a produit des sanctions cumulées se chiffrant en milliards d’euros, la physionomie du classement aurait pu être très différente. Selon le rapport de l’Irish Council for Civil Liberties (ICCL), que Le Monde a relayé courant mai, l’équivalent irlandais de la Cnil (Data Protection Commission) est trop souple dans ses décisions.

Preuve de cette mansuétude ? Le Comité européen de la protection des données (CEPD), organisme qui réunit l’ensemble des régulateurs européens, a retoqué 75 % des décisions de Data Protection Commission, parce que l’instance a pris notamment des sanctions inappropriées. En clair, elle frappe les géants du net trop mollement avec son bâton.

une comparateur meilleur vpn numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !