DLA Piper, plus grand cabinet international d’avocats au monde, a publié un rapport sur les amendes infligées aux entreprises numériques dans le cadre du RGPD européen. Elles ont quasiment été multipliées par sept en 2021 par rapport à 2020.

Protéger les données personnelles des Européens

Entré en vigueur il y a maintenant quatre ans, le Règlement général sur la protection des données (RGPD) a été pensé pour donner davantage de droits aux Européens sur leurs données personnelles. Ainsi, les entreprises doivent désormais démontrer qu'elles disposent d'une base juridique claire pour collecter et traiter les informations des utilisateurs, et elles sont tenues d’informer les autorités de toute violation de données dans les soixante-douze heures suivant la date à laquelle elles en ont eu connaissance. En cas de non-respect de cette réglementation, les firmes risquent une amende salée allant jusqu’à 4 % de leur chiffre d’affaires.

En 2021, le montant total des différentes amendes infligées aux big tech a atteint les 1,25 milliard d’euros, soit 180 millions d’euros en plus comparé à l’année précédente. Par ailleurs, les notifications de violations de données par les entreprises aux autorités ont augmenté de 8 %, et étaient donc de 356 par jour en moyenne.

« Le RGPD a certainement été efficace pour que tout le monde s'assoie et écoute la loi sur la protection des données et l'application de la protection des données. Avant le RGPD, si vous étiez frappé d'une amende et que vous étiez l'un des plus gros acteurs, c'était une erreur d'arrondi, cela permettait à peine de payer la fête de Noël. Maintenant, vous avez des amendes qui sont proches d'un milliard d'euros », explique Ross McKean, président du groupe de protection des données et de sécurité de DLA Piper au Royaume-Uni, au média CNBC.

Amazon est l’entreprise qui a reçu la plus importante amende pour violation du RGPD en 2021. D’un montant de 746 millions d’euros, elle a été infligée par la Commission nationale luxembourgeoise. La deuxième plus grosse sanction financière, de 225 millions d’euros, a été donnée à WhatsApp pour partage illégal de données personnelles entre la messagerie et sa maison-mère, Meta (anciennement Facebook).

Chacune des deux entreprises a fait appel de cette décision, elles n’ont pas encore réglé leur amende respective.

Le logo d'Amazon sur un smartphone.

Amazon a écopé de la plus lourde amende pour violation du RGPD en 2021. Photographie : Christian Wiediger / Unsplash

Un imbroglio juridique

Il reste néanmoins des points problématiques. Par exemple, l’agence de protection des données irlandaise, pays dans lequel de nombreux géants technologiques ont installé leur siège social européen grâce à une politique fiscale avantageuse, a été accusée de ralentir la bonne application du RGPD à cause de sa lenteur. Par conséquent, certains pays prennent le taureau par les cornes et sanctionnent eux-mêmes les big tech ; c’est notamment le cas de la France qui a sanctionné Google et Facebook pour violation des règles sur les cookies.

Surtout, la législation sur le transfert de données entre l’Europe et les États-Unis reste un véritable imbroglio. La Cour de justice européenne a cassé par deux reprises les contrats (Privacy Shield et Safe Harbor) qui régissaient les transferts de données entre l'Europe et les États-Unis, en affirmant que ceux-ci n’offraient pas une protection assez élevée des citoyens européens. Si un nouvel accord est en préparation, la situation actuelle est très compliquée. D’ailleurs, Meta ne respecte pas la décision de l’UE et continue de transférer ses données outre-Atlantique.

Puisque ce transfert de données n’est quasiment plus encadré, l’Autriche a récemment affirmé que l’utilisation de Google Analytics représentait une violation du RGPD. Espérons que l’UE et les États-Unis s’entendent rapidement, au risque de voir de nouvelles situations ubuesques émerger de ce problème diplomatique.