Les régulateurs européens des données ont émis un montant record de 2,92 milliards d'euros d'amendes l'année dernière, soit une augmentation de 168 % par rapport à 2021 (près de 1,1 milliard d’euros). C'est ce que révèle la dernière enquête RGPD et Data Breach du cabinet d'avocats international DLA Piper, qui couvre les 27 États membres de l'Union européenne, plus le Royaume-Uni, la Norvège, l'Islande et le Liechtenstein. La plus grosse amende de cette année, d'un montant de 405 millions d'euros, a été infligée par le commissaire irlandais à la protection des données (DPC) à Meta Platforms Ireland Limited concernant Instagram pour des manquements présumés à la protection des données personnelles des enfants. Le DPC irlandais a également infligé une amende de 265 millions d'euros à Meta pour ne pas avoir respecté l'obligation du RGPD en matière de protection des données by design et par défaut. Les deux amendes font actuellement l'objet d'un appel.
Malgré l'augmentation globale des amendes depuis le 28 janvier 2022, l'amende de 746 millions d'euros que les autorités luxembourgeoises ont infligée à Amazon l'année dernière reste la plus importante émise par un régulateur de données basé dans l'UE à ce jour (bien que l'on pense que le géant du e-commerce pourrait encore faire appel). Le rapport a également révélé une augmentation notable de l'attention portée par les autorités de surveillance à l'utilisation de l'intelligence artificielle (IA), tandis que le volume des violations de données signalées aux régulateurs a légèrement diminué par rapport au total de l'année précédente.
Les autorités plus sûres d’elles, les amendes en hausse
La dernière édition de l'enquête sur le RGPD et les violations de données a montré une augmentation significative d'une année sur l'autre de la valeur globale des amendes liées au règlement général sur la protection des données. « Cette hausse témoigne de la confiance croissante des autorités de contrôle et de leur volonté d'imposer des amendes élevées en cas de violation du RGPD, notamment à l'encontre des grands fournisseurs de technologies, et a également été influencée par l'impact fortement inflationniste de l'EDPB (Comité européen de la protection des données) », peut-on lire dans le rapport. « Les autorités locales de protection des données auront sans doute suivi avec intérêt les décisions de l'EDPB dans le cadre du mécanisme de cohérence du RGPD. Ces dernières concernant les amendes se sont traduites par une augmentation significative de la sanction finale imposée », a-t-il ajouté.
L'enquête a également mis en évidence l'impact de certaines décisions notables prises par les autorités de contrôle de la protection des données cette année concernant l'application des exigences de Schrems II et du chapitre V du RGPD relatif au transfert extraterritorial des données personnelles. Ross McKean, président du groupe britannique de protection des données et de cybersécurité, a déclaré : « La série d'amendes irlandaises du DPC visant les pratiques de publicité comportementale des plateformes de médias sociaux cette année ont le potentiel d'être tout aussi profondes pour l'avenir de la « grande affaire » au cœur de l'internet « libre » d'aujourd'hui. Compte tenu de l'enjeu, nous pouvons nous attendre à des années d'appels et de litiges. La loi est très loin d'être fixée sur ces questions ». L'Irlande (1 303 514 500 €), le Luxembourg (746 345 675 €) et la France (428 238 300 €) sont en tête de la liste du montant global des amendes RGPD imposées du 25 mai 2018 à ce jour, le Royaume-Uni (59 242 800 €) se classant au septième rang.
L’IA dans le viseur des régulateurs
Les Cnil européennes se concentrent davantage sur l'utilisation de l'IA et le rôle que jouent les données personnelles dans la formation de la technologie de l'IA, indique le rapport. « Elle a un impact sur tous les secteurs, qu'il s'agisse de l'automatisation des processus, de l'apprentissage automatique, des chatbots, de la reconnaissance faciale en passant par la réalité virtuelle et au-delà. Les données personnelles sont souvent le carburant qui alimente l'IA utilisée par les entreprises. Elles permettent d'adapter les paramètres de recherche, de repérer les tendances comportementales et de prédire les futurs résultats possibles », peut-on lire dans le rapport. Comme de nombreux systèmes d'IA utilisent des données personnelles, la réglementation de ces systèmes relève souvent du champ d'application du RGPD. « Plusieurs autorités de contrôle de la protection des données ont publié des orientations sur l'utilisation des données personnelles pour l'IA cette année », ajoute l'étude.
En mai 2022, l'ICO britannique a infligé une amende de 7 552 800 £ à la société de reconnaissance faciale Clearview AI pour avoir enfreint les lois sur la protection des données en raison de son utilisation d'images de visages de personnes et de données provenant d'informations accessibles au public. L'ICO a affirmé que l'entreprise avait collecté plus de 20 milliards d'images de visages de personnes et de données provenant d'informations accessibles au public sur l'internet et les plateformes de médias sociaux du monde entier. Le tout dans l’intention de créer une base de données en ligne, sans informer les personnes que leurs images étaient collectées ou utilisées de cette manière.