En vigueur depuis 5 ans dans l’UE, le règlement général sur la protection des données (RGPD) est progressivement monté en puissance, avec des amendes de plus en plus lourdes, toutefois encore éloignées de leur niveau maximal. Dernière en date, Meta s’est vu infliger lundi une amende record de 1,2 milliard d’euros (1,1% de son c.a. mondial en 2022) de la part du régulateur irlandais pour avoir enfreint les règles européennes avec son réseau social Facebook. Le texte adopté à Bruxelles en 2016 et applicable par les autorités nationales des Etats membres depuis mai 2018 permet des sanctions allant jusqu’à 20 millions d’euros ou 4% du c.a. mondial d’une entreprise. Selon le site enforcementtracker.com, le montant cumulé des amendes avait atteint un pic en 2021 à 1,4 milliard d’euros, avec notamment des sanctions importantes contre les géants du web. Dans la plupart des cas, des amendes bien plus réduites visent de petites et moyennes entreprises, voire des personnes physiques, comme des médecins qui stockent les données médicales de leurs patients sur leur ordinateur personnel. L’une des 1ères amendes significatives (400.000 euros) a été prononcée en novembre 2018 par l’autorité portugaise à l’encontre de l’hôpital de Barreiro, proche de Lisbonne, qui n’avait pas suffisamment protégé l’accès aux données de ses patients. Début 2019, la Cnil, autorité indépendante française chargée de la protection des données, annonce une amende de 50 millions d’euros à l’encontre du géant américain Google pour manque de transparence sur son système d’exploitation mobile Android. La Cnil était compétente pour sanctionner l’entreprise qui n’avait pas encore, au moment de la sanction, installé pleinement son siège européen à Dublin et désigné l’autorité irlandaise comme «chef de file» pour les traitements de données transfrontaliers. En août 2019, la Bulgarie sanctionne d’environ 3 millions d’euros d’amende sa propre administration fiscale après que l’institution, mal protégée, a été à l’origine d’une fuite de données de millions de citoyens bulgares. L’affaire, qui pose la question de la responsabilité en cas de cyberattaque, fait l’objet d’un recours devant la Cour de justice de l’UE. En 2020, le régulateur italien a sanctionné lourdement plusieurs opérateurs télécom (Tim, WindTre puis Vodafone) après des plaintes sur des campagnes promotionnelles non sollicitées. Le géant du prêt-à-porter H&M a également été sanctionné de 35 millions d’euros d’amende en Allemagne pour avoir stocké des informations personnelles sensibles sur ses employés. En juillet 2021, Amazon Europe est condamné à une amende record de 746 millions d’euros par l’autorité de protection des données du Luxembourg pour la mise en place d’un ciblage publicitaire réalisé sans consentement. En France, le géant de l’agrochimie Monsanto (propriété de Bayer) doit payer une amende de 400.000 euros pour avoir fiché illégalement des personnalités publiques, journalistes et militants, dans le but d’influencer le débat public sur l’interdiction du glyphosate. En septembre, l’Irlande sanctionne la messagerie instantanée Whatsapp à 225 millions d’euros d’amende pour des violations sérieuses de ses obligations de transparence dans le traitement des données. La sanction proposée par l’autorité irlandaise, la DPC, avait été réévaluée à la hausse suite à l’intervention des autres autorités européennes. En 2022, Meta est à nouveau condamné à 4 reprises par la DPC, encore suite à l’intervention de ses pairs européens. Malgré ces annonces, les entorses à la règlementation restent nombreuses. La société américaine de reconnaissance faciale Clearview AI, condamnée à près de 69 millions d’euros d’amende au total par les autorités italienne, britannique, grecque et française, affirme notamment ne pas être en mesure de la respecter, bien qu’elle exploite sans autorisation des milliards de photos collectées sur les réseaux sociaux.
