En 2021, le montant des amendes infligées dans le cadre du RGPD a été multiplié par 7 par rapport à l'année précédente, alourdi par une sanction record de 746 millions d'euros à l'encontre de la plateforme de e-commerce Amazon. Au total, les différentes autorités surveillant la bonne mise en application du règlement européen pour la protection des données personnelles ont imposé près de 1,1 milliard d’euros d’amendes depuis le 28 janvier 2021, selon le rapport annuel sur le sujet publié par le cabinet juridique DLA Piper.
C’est au Luxembourg et en Irlande que les plus fortes sanctions sont tombées. L’amende de 746 millions d’euros assénée à Amazon par la CNDP, Commission nationale du Luxembourg pour la protection des données, est la plus élevée à ce jour. C’est presque 3,5 fois le montant de la 2ème amende la plus forte, 225 millions d’euros, que l’Irish Data Protection Commission a imposé à la fin de l’été à l’application de messagerie WhatsApp, du groupe Facebook. Les deux entreprises font appel de leurs amendes respectives. Comparativement, la 3ème sanction la plus forte dans le cadre du RGPD remonte à janvier 2019 lorsque la CNIL avait condamné Google à une amende de 50 millions d’euros.
130 000 notifications aux régulateurs en un an
Depuis le 28 janvier 2021, plus de 130 000 violations de données personnelles ont été notifiées aux régulateurs, soit une moyenne de 356 par jour, ce qui représente une hausse de 8% par rapport à la moyenne de 331 notifications en 2020. Au total, depuis l’entrée en vigueur du RGPD, c’est en Allemagne qu’il y a eu le plus grand nombre de notifications pour violation de données personnelles avec 106 731 signalements. Viennent ensuite les Pays-Bas avec 92 657 notifications, puis le Royaume-Uni, 40 026, la Pologne, 29 003 et le Danemark, 26 634.
Compte-tenu du nombre d’habitants par pays, c’est aux Pays-Bas qu’il y en a eu le plus avec 150,7 notifications pour 100 000 personnes. Tandis que la Grèce, la République tchèque et la Croatie sont les pays ayant fait le moins de signalements.
Jugement Schrems II, principal défi de conformité
Pour Ross McKean, présidente de l’UK Data Protection and Security Group, l’augmentation des amendes au titre du RGPD est une chose, mais « c’est le jugement Schrems II et ses implications profondes sur les transferts données (qui) se sont imposés comme le principal défi de conformité en matière de protection des données pour de nombreuses organisations concernées par le RGPD », cite le billet de DLA Piper. Dans son enquête, le cabinet juridique montre que l’arrêt Schrems II ne crée pas seulement un risque d'amendes et de demandes d'indemnisation. Il y a aussi un risque d'interruption de service en cas de suspension des transferts de données, ce qui peut potentiellement être beaucoup plus coûteux que les amendes. Parallèlement, Ross McKean s'attend à ce qu'il ait en 2022 d'autres appels sur les amendes infligées dans le cadre du RGPD.
Pour Ewa Kurowska-Tober, co-présidente de l’activité protection des données et sécurité de DLA Piper, le jugement Schrems II a effectivement déplacé le problème des législateurs vers ceux qui exportent et importent des données personnelles. « Satisfaire aux exigences de Schrems II est un défi, même pour les organisations les plus sophistiquées et les mieux dotées en ressources, et est au-delà des moyens de nombreuses petites et moyennes entreprises », pointe-t-elle en exprimant la nécessité de résoudre le problème législatif sous-jacent « plutôt que d’imposer un fardeau de conformité irréaliste aux entreprises ».
La semaine dernière, sur ces questions, la CNIL autrichienne a estimé que l'usage de Google Analytics enfreignait le RGPD en collectant des données traitées ensuite aux Etats-Unis.