ENTREPRISES & STRATÉGIES — Finance & Légal

RGPD

Les régulateurs mettent la pression sur les entreprises



La protection des données est souvent un véritable casse-tête pour les entreprises. (Photo: Shutterstock)

La protection des données est souvent un véritable casse-tête pour les entreprises. (Photo: Shutterstock)

Le cabinet d’avocats international DLA Piper fait état, dans une étude, d’une progression de 19% des infractions en matière de protection des données. Les amendes infligées aux entreprises fautives ont augmenté de 39%.

En application depuis le 25 mai 2018, le RGPD a pour vocation de protéger les données des utilisateurs sur internet. Après presque une année et demie consacrée à la pédagogie, les régulateurs ont montré leurs muscles et ont infligé un total de 158,5 millions d’euros d’amendes aux entreprises ne s’étant pas encore mises en conformité avec le règlement européen depuis le 20 janvier 2020. Soit une progression de 39% par rapport aux 20 mois précédents.

Depuis l’entrée en vigueur du texte, ce sont 272,5 millions d’amendes qui ont été infligées aux entreprises. Une croissance à rapprocher de celle des notifications de violation du règlement en hausse de 19% sur un an, à 121.165 cas. Au total, il y a eu plus de 281.000 notifications de violation de données depuis l’application du RGPD.

Aucune amende de la CNPD

L’Italie et l’Allemagne, à elles seules, ont infligé plus de la moitié des amendes enregistrées depuis le 25 mai 2018, soit 69,3 millions pour l’Italie et 69,1 millions pour l’Allemagne. Mais la palme de la plus grosse amende revient à la France, troisième de ce classement, avec les 50 millions infligés à Google par la Commission nationale de l’informatique et des libertés (CNIL) pour «manque de transparence dans la façon dont sont gérées les données des utilisateurs». Un chiffre d’autant plus significatif que la France n’a infligé au total que 54,4 millions d’euros d’amendes.

En termes de violations notifiées, c’est l’Allemagne qui arrive en tête, suivie des Pays-Bas. L’Italie, pays qui sanctionne le plus, n’apparaît pas dans ce top 10. Le Luxembourg, avec 920 violations de données notifiées aux autorités de régulation, arrive au 18e rang.

La Commission nationale pour la protection des données (CNPD), le régulateur grand-ducal, n’a pour l’instant infligé aucune amende aux contrevenants. Une clémence qu’elle justifiait,  dans son dernier rapport annuel , par le fait que la majorité des violations relevaient d’une erreur humaine.

Différences culturelles

Au-delà des chiffres, l’apport le plus marquant de l’étude est de souligner les différences culturelles dans l’approche de la notification des violations. L’Allemagne (77.747 cas), les Pays-Bas (66.527 cas) et le Royaume-Uni (30.536 cas) sont en tête pour le nombre de violations de données notifiées aux régulateurs. La France et l’Italie, pays dont la population dépasse respectivement 67 millions et 62 millions d’habitants, n’ont enregistré que 5.389 et 3.460 notifications de violation de données pour la même période.

Si l’on compare les résultats en fonction de la population des pays, le Danemark prend la tête cette année, devant les Pays-Bas, avec respectivement 155,6 et 150 infractions signalées pour 100.000 habitants. L’Irlande occupe la troisième place avec 127,8 infractions signalées et le Luxembourg pointe à la septième position de ce classement avec ses 920 violations notifiées.

Les violations relevées par les régulateurs restent très diverses: les plus fréquentes au Luxembourg sont le non-respect du droit d’accès par les responsables du traitement; le non-respect des demandes d’effacement ou de rectification ou encore la prospection abusive.

Pour Olivier Reisch , associé de DLA Piper , spécialiste luxembourgeois de la propriété intellectuelle et de la technologie, «les régulateurs européens ont montré leur volonté d’utiliser leurs pouvoirs d’exécution». Il s’attend à une progression des amendes et des notifications d’infractions, mais aussi des contentieux.