Alors que le RGPD va sur sa deuxième année, une étude menée par un cabinet d'avocats montre que les sanctions prises sous l'égide de cette nouvelle réglementation atteignent 114 millions d'euros. Une somme relativement modeste à l'échelle du continent européen, mais le cabinet d'avocats prédit une hausse des peines très bientôt.

Le 25 mai 2020, le Règlement général sur la protection des données (RGPD) soufflera sa deuxième bougie. Ce sera l’occasion pour la Commission nationale de l’informatique et des libertés (CNIL), l’instance en de faire respecter ce texte en France, de proposer un bilan de ces douze derniers mois, à l’image de celui qui avait été présenté fin mai 2019 pour tirer les conclusions de la première année d’activité.

Cette date-anniversaire, le cabinet d’avocats international DLA Piper n’a pas souhaité l’attendre pour exposer les résultats de son enquête sur le nombre de notifications en cas de fuite de données.

Le classement par pays du nombre de notifications depuis l’entrée en vigueur du RGPD. // Source : DLA Piper

160 000 notifications recensées depuis le RGPD

Selon son décompte, il y a eu plus de 160 000 notifications en Europe depuis l’entrée en vigueur du RGPD, le 25 mai 2018. Une statistique qui cache toutefois un déséquilibre : plus de 100 000 de ces signalements concernent trois pays : les Pays-Bas, l’Allemagne et le Royaume-Uni. Et la France, dans tout ça ? Elle ne pointe qu’en neuvième position, avec « à peine » 3 459 notifications recensées.

Dans sa méthodologie, DLA Piper précise que ces chiffres particulièrement précis sont en fait pour partie des estimations. Tous les pays cités ne rendent pas publiques les statistiques relatives aux notifications et, dans certains cas, seules certaines portions de la période considérée sont couvertes. De plus, DLA Piper prévient que des manquements qui ont été signalés peuvent concerner le régime pré-RGPD.

Face à des informations parcellaires, le cabinet d’avocats explique « avoir dû extrapoler les données » pour estimer les signalements sur la totalité de la période. En conséquence, si les données ne sont peut-être pas précises à l’unité près, elles n’en demeurent pas moins instructives, ne serait-ce que pour avoir une ordre de grandeur global au niveau européen et pour situer les États entre eux.

Plus de 114 millions d’euros d’amende

En ce qui concerne les sanctions financières, DLA Piper comptabilise plus de 114 millions d’euros infligées à des entreprises ayant fait l’objet d’une enquête. Là aussi, le détail des statistiques montre des disparités entre les pays, puisque presque la moitié de ce montant — 50 millions d’euros — provient de la décision de la CNIL à l’encontre de Google, au début de l’année 2019. Il s’agit du record du continent.

Avec cette sanction, la France se place en tête des pays ayant prononcé les plus lourdes peines, puisque les montants cumulés pour l’hexagone atteignent 51,1 millions d’euros. Suivent l’Allemagne avec un peu de 24,5 millions d’euros, l’Autriche, avec 18,1 millions d’euros, l’Italie, avec 11,5 millions d’euros, la Bulgarie, avec 3,1 millions d’euros, et l’Espagne, avec près de 1,4 million d’euros.

Les pays ayant prononcé les sanctions financières les plus importantes. // Source : DLA Piper

DLA  Piper n’a pas pris en compte les affaires en instance comme celle visant la compagnie aérienne British Airways — La CNIL locale est susceptible de sanctionner le groupe par une amende à hauteur de 200 millions d’euros. Cependant, le dossier n’ayant pas été bouclé lors de la finalisation de son rapport, le cabinet l’a écarté même s’il le cite à titre informatif. Si la procédure va au bout, la peine de la CNIL contre Google sera détrônée par une nouvelle amende record.

Dernier grand enseignement que tire le cabinet de son étude depuis le 25 mai 2018, la hausse du nombre de notifications quotidiennes d’incidents. Celui-ci est passé de 247 par jour au cours des huit premiers mois à 278 en 2019, soit une hausse de 12,6 %. Signe que les entreprises se conforment mieux aux exigences du RGPD, en se signalant aux autorités, ou que cela illustre des insuffisances en matière de sécurité informatique ? En la matière, DLA Piper ne tranche pas complètement.

« Nous n’en sommes encore qu’aux premiers jours de l’application de la loi »

Ce que le cabinet d’avocats anticipe, par contre, c’est une hausse à venir du montant et du nombre d’amendes dans les mois et les années à venir. « Les régulateurs ont été occupés à tester leurs nouveaux pouvoirs de sanction et d’amende », observe DLA Piper. Ces 114 millions d’euros «  sont relativement faibles par rapport aux amendes maximales potentielles qui peuvent être imposées dans le cadre du RGPD ».

« Nous n’en sommes encore qu’aux premiers jours de l’application de la législation. Nous nous attendons à ce que la dynamique s’accélère avec l’imposition de nouvelles amendes de plusieurs millions d’euros au cours de l’année à venir, à mesure que les régulateurs intensifieront leurs activités d’application », prévoit le cabinet. Dans le cadre du RGPD, les peines peuvent atteindre jusqu’à 4 % du chiffre d’affaires de l’entreprise.

Crédit photo de la une : Claire Braikeh pour Numerama

Partager sur les réseaux sociaux