•
L’analyse à l'échelle européenne menée par le réseau CMS Francis
Lefebvre montre des pratiques de sanctions de plus en plus dynamiques avec des
amendes totalisant 4,5 Mrds€ depuis l’entrée en application du règlement en
2018.
• L’amende la plus élevée de 1,2 Mrd€ fut
imposée par l'autorité irlandaise de protection des données en mai 2023 pour
une violation des règles sur les transferts internationaux de données. D'autres
amendes imposées par cette autorité en 2023 se sont élevées à des centaines de
millions d'euros.
• Les principales violations au règlement
concernent une « Base juridique insuffisante pour le traitement des données »
et le « Non-respect des principes généraux du traitement des données ». La
deuxième infraction la plus fréquente se rapporte aux « Mesures techniques et
organisationnelles insuffisantes pour assurer la sécurité de l'information ».
• Pour la cinquième année consécutive,
l'Espagne arrive en tête des pays ayant infligé le plus d'amendes, suivie de
l'Italie et de la Roumanie. L'Irlande, le Luxembourg et la France ont les
amendes moyennes et les montants totaux les plus élevés par pays.
Le cabinet d'avocats
international CMS annonce aujourd'hui la cinquième édition de son rapport
annuel « Enforcement Tracker Report », qui analyse les développements de
toutes les amendes RGPD connues publiquement de 2018, année de l’entrée en
application du RGPD, jusqu'au 1er mars 2024. L'édition 2024 du rapport CMS
couvre la période d'analyse entre mars 2023 et mars 2024.
510 amendes ont été
ajoutées pour la seule année écoulée. Cela porte le nombre total d'amendes
relatives à la protection des données depuis l'entrée en vigueur du RGPD en mai
2018 à 2 225, ou
2 086 si seules les amendes comportant des détails complets
tels que le montant de l'amende, la date et l'autorité sont prises en compte.
Le montant total des
amendes depuis le début de l'enquête s'élève à environ 4,5 Mrds€, avec un total
d’amendes d'environ 1,7 Mrd€ depuis l'année dernière. Cela montre que les
autorités n'hésitent plus à imposer des amendes élevées. L'amende moyenne pour
l'ensemble de la période couverte par le rapport était d'environ 2,1 M€ - les
amendes élevées infligées aux entreprises de « grande technologie » en 2021/22
et la première amende de plusieurs milliards en 2023 ayant un impact
particulièrement important.
« En tête de liste des
déclencheurs d'amendes RGPD se trouvent, une fois de plus, une base juridique
insuffisante et le non-respect des principes généraux de traitement des
données, ainsi que des mesures techniques et organisationnelles insuffisantes.
Les entreprises devraient y prêter une attention particulière », déclare Christian
Runte, avocat associé du cabinet CMS en Allemagne.
Alexander Schmid,
avocat de CMS Allemagne et co-auteur du rapport annuel, ajoute : « Outre les
autorités chargées de la protection des données, les tribunaux se sont de plus
en plus penchés sur l'interprétation du RGPD. Par exemple, la Cour de justice
de l'Union européenne a clarifié la portée du droit d'accès des personnes
concernées. Ces décisions apportent plus de clarté, mais renforcent en même
temps les exigences pour les entreprises, c'est pourquoi, en plus d'un concept
de conformité viable, les développements actuels seront également décisifs pour
elles dans la pratique à l'avenir. »
Synthèse des principaux
résultats du rapport CMS sur les pratiques de sanctions en matière de RGPD en
Europe
Nombre et montant des
amendes
• Depuis l'entrée en vigueur du RGPD, 2 225
amendes ont été enregistrées, dont 2 086 avec des informations complètes.
• Le montant total des amendes atteint 4,5 Mrds€.
• L'amende la plus élevée à ce jour s'élève à
1,2 Mrd€, imposée par l'autorité irlandaise en mai 2023 pour des violations
liées aux transferts internationaux de données.
Types de violations les
plus fréquentes
• Base juridique insuffisante pour le
traitement des données (612 amendes).
• Non-respect des principes généraux de
traitement des données (561 amendes).
• Mesures techniques et organisationnelles
insuffisantes pour assurer la sécurité des informations
(357 amendes).
Répartition
géographique et sectorielle
• L'Espagne est en tête du nombre d'amendes,
suivie de l'Italie et de la Roumanie.
• Les secteurs les plus touchés incluent les
médias, les télécommunications, le commerce et l'industrie, avec une exposition
élevée dans les entreprises B2C en raison de leur proximité avec les sujets de
données.
Évolution et tendances
• Les autorités de protection des données ont
initialement adopté une approche prudente, toutefois les sanctions ont augmenté
de manière constante, surtout après 2021 avec des amendes record contre les
grandes entreprises technologiques.
• Le secteur financier, les assurances et les
sociétés de conseil ont vu une augmentation notable des amendes pour absence de
mesures de conformité adéquates.
Impact des nouvelles
technologies :
• L'augmentation de l'utilisation des
technologies innovantes, comme l'intelligence artificielle, entraîne des
traitements de données complexes et à risque élevé, nécessitant une gestion
rigoureuse des risques.
Actions judiciaires et
recours collectifs :
• L'augmentation des actions judiciaires contre
les décisions des autorités de protection des données contribue à une plus
grande certitude juridique dans l'interprétation du RGPD.
• La directive sur les actions représentatives permet aux associations de consommateurs d'intenter des actions collectives pour les violations de la protection des données.