Ils n’en sont pas revenus. Jamais avare d’une pique, le héraut européen de la protection de la donnée personnelle et tombeur de Facebook, Max Schrems, s’est simplement fendu d’un tweet pour féliciter… La Quadrature du Net, qui a elle-même félicité les 10.000 personnes qui avaient rejoint sa plainte contre Amazon.
Dans son post revisité, La Quadrature du Net admet elle-même qu’elle ne s’attendait pas à une telle décision venue du Luxembourg.
Le 30 juillet, on apprenait que la Commission nationale pour la protection des données (CNPD) avait renversé la table, 15 jours plus tôt, en infligeant la plus lourde amende jamais prononcée en Europe à une entreprise pour son attitude vis-à-vis de la protection des données. À 746 millions d’euros, l’amende est plus de trois fois supérieure à toutes les amendes infligées par les trois régulateurs les plus sévères depuis mai 2018, à savoir l’Allemagne (72,5 millions d’euros depuis l’entrée en vigueur du RGPD et sans compter les peines des régulateurs régionaux allemands), la France (56 millions d’euros, dont 50 contre Google, la plus grosse amende jusque-là) et l’Italie (89,73 millions d’euros).
Il était et il est encore trop tôt pour se réjouir. «Il était», parce que personne ne connaît le détail de la décision de la CNPD, contre laquelle Amazon a aussi interjeté appel, histoire, au minimum, de gagner du temps. Les détails ne seront pas publiés par l’autorité nationale, comme le prévoit la loi du 1er août 2018 qui consacre strictement le secret professionnel, .
«Il est», parce que l’appel peut modifier la donne. «Il est possible que toute procédure d’appel ou négociation réduise l’amende – l’année dernière, l’amende du régulateur britannique de la protection des données contre British Airways est passée de 184 millions de livres sterling à . Une autre, contre le groupe hôtelier Marriott, a été réduite de de », se souvient Wire.
54 employés contre 1.000 en Allemagne
L’Italie est bien placée pour le savoir. Avec 89,7 millions d’euros d’amendes infligées en 228 décisions, le régulateur italien n’est pas au bout de ses peines: 144 décisions sont toujours pendantes en appel. .
Selon ces chiffres, qui sont là pour donner un aperçu de la situation des régulateurs nationaux de la donnée personnelle en Europe, l’Allemagne est la mieux dotée, avec un budget annuel de 82,6 millions d’euros et 1.083 employés, dont les trois quarts sont directement affectés aux enquêtes. L’Italie est la deuxième la plus richement dotée, avec 30,1 millions d’euros et 133 employés, dont la moitié sur les enquêtes. Les Pays-Bas montent également sur ce podium (24,3 millions d’euros et 175 employés).
Avec 7,667 millions d’euros, en hausse de 400.000 euros l’an dernier, la CNPD est loin de tout cela. Mais celle qui se retrouve aux commandes de grandes enquêtes car nombre de sociétés technologiques ont leur quartier général au Luxembourg fait partie des cinq pays qui s’en satisfont, comme la Hongrie, Chypre, la Lituanie ou l’Autriche.
Selon ces mêmes statistiques, 22 des 54 employés de la CNPD sont affectés aux enquêtes et le groupe compte 23 «legal», en plus des fonctions traditionnelles de management, de support ou d’IT. Elle est engagée dans 84 cas nationaux et plus de 400 transfrontaliers, dont 328 où elle est «seulement» concernée et 91 dans lesquels elle exerce le leadership européen. La gestion chronophage de ces dossiers ne l’empêche pas d’avoir bouclé 70% des plaintes et 1.048 des 1.067 data breaches enregistrés jusque-là.
Soit une durée de résolution de 24 mois pour une affaire nationale et un chiffre non connu pour les affaires internationales.
Avec la décision «Amazon», la CNPD s’est donné de l’air face aux critiques internationales. Dans une société de la donnée que le Premier ministre (DP) appelle de ses vœux, de nombreux problèmes vont continuer à surgir dans la gestion des données au fur et à mesure que les utilisateurs prendront conscience des impacts des problèmes de sécurité.