Paris - En vigueur depuis cinq ans dans l'Union européenne, le règlement général sur la protection des données (RGPD) est progressivement monté en puissance, avec des amendes de plus en plus lourdes, toutefois encore éloignées de leur niveau maximal.
Dernière en date, Meta s'est vu infliger le 22 mai une amende record de 1,2 milliard d'euros (1,1% de son chiffre d'affaires mondial en 2022) de la part du régulateur irlandais pour avoir enfreint les règles européennes avec son réseau social Facebook.
Le texte adopté à Bruxelles en 2016 et applicable par les autorités nationales des Etats membres depuis mai 2018 permet des sanctions allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial d'une entreprise.
Selon le site enforcementtracker.com, tenu à jour par le cabinet d'avocats CMS, le montant cumulé des amendes avait atteint un pic en 2021 à 1,4 milliard d'euros, avec notamment des sanctions importantes contre les géants du web.
Dans la plupart des cas, des amendes bien plus réduites visent de petites et moyennes entreprises, voire des personnes physiques, comme des médecins qui stockent les données médicales de leurs patients sur leur ordinateur personnel.
L'une des premières amendes significatives (400.000 euros) a été prononcée en novembre 2018 par l'autorité portugaise à l'encontre de l'hôpital de Barreiro, proche de Lisbonne, qui n'avait pas suffisamment protégé l'accès aux données de ses patients.
- 50 millions contre Google -
Début 2019, la Cnil, autorité indépendante française chargée de la protection des données, annonce une amende de 50 millions d'euros à l'encontre du géant américain Google, sur la base de 4 articles du RGPD, pour manque de transparence sur son système d'exploitation mobile Android.
Selon le Conseil d'Etat, qui a confirmé l'amende en 2020, la Cnil était compétente pour sanctionner l'entreprise qui n'avait pas encore, au moment de la sanction, installé pleinement son siège européen à Dublin et désigné l'autorité irlandaise comme "chef de file" pour les traitements de données transfrontaliers.
En août 2019, la Bulgarie sanctionne d'environ 3 millions d'euros d'amende sa propre administration fiscale après que l'institution, mal protégée, a été à l'origine d'une fuite de données de millions de citoyens bulgares.
L'affaire, qui pose la question de la responsabilité en cas de cyberattaque, fait l'objet d'un recours devant la Cour de justice de l'Union européenne.
En 2020, le régulateur italien a sanctionné lourdement plusieurs opérateurs télécom (Tim, WindTre puis Vodafone) après des plaintes sur des campagnes promotionnelles non sollicitées.
Le géant du prêt-à-porter H&M a également été sanctionné de 35 millions d'euros d'amende en Allemagne pour avoir stocké des informations personnelles sensibles sur ses employés.
- 746 millions contre Amazon Europe -
En juillet 2021, Amazon Europe est condamné à une amende record de 746 millions d'euros par l'autorité de protection des données du Luxembourg, où le groupe a implanté son siège, pour la mise en place d'un ciblage publicitaire réalisé sans consentement.
En France, le géant de l'agrochimie Monsanto (propriété de Bayer) doit payer une amende de 400.000 euros pour avoir fiché illégalement des personnalités publiques, journalistes et militants, dans le but d'influencer le débat public sur l'interdiction du glyphosate.
En septembre, l'Irlande sanctionne la messagerie instantanée Whatsapp, propriété de Meta, à 225 millions d'euros d'amende pour des violations sérieuses de ses obligations de transparence dans le traitement des données. La sanction proposée par l'autorité irlandaise, la DPC, avait été réévaluée à la hausse suite à l'intervention des autres autorités européennes.
En 2022, Meta est à nouveau condamné à 4 reprises par la DPC, encore suite à l'intervention de ses pairs européens. Le montant cumulé des amendes atteint plus d'un milliard d'euros, en raison d'une méga fuite de quelque 533 millions de numéros de téléphones et d'emails, mais aussi de la gestion des données des mineurs sur Instagram.
Malgré ces annonces, les entorses à la règlementation restent nombreuses. La société américaine de reconnaissance faciale Clearview AI, condamnée à près de 69 millions d'euros d'amende au total par les autorités italienne, britannique, grecque et française, affirme notamment ne pas être en mesure de la respecter, bien qu'elle exploite sans autorisation des milliards de photos collectées sur les réseaux sociaux.
En mai 2023, la Cnil a indiqué que la société ne s'était pas acquittée de son amende et l'a condamnée à payer 5 millions d'euros supplémentaires.
Par Jules Bonnard, infographies par Julia Han Janicki, Sophie Ramis
"excerpt": "En vigueur depuis cinq ans dans l'Union européenne, le règlement général sur la protection des données (RGPD) est progressivement monté en puissance, avec des amendes de plus en plus lourdes",
"creationDate": "2023-05-22",
"permalink": "https://ednh.news/fr/rgpd-des-amendes-de-plus-en-plus-fortes-pour-proteger-les-donnees/",
"language": "fr",
"categories": "Digitalisation",
"media": "Infographie",
"imageFeatured": "https://ednh.news/wp-content/uploads/2023/05/1FC2RH.jpg",
"status": "publish",
"authorId": "6",
"author": "afp"
}