Lorsque le règlement général sur la protection des données (RGPD) est entré en vigueur en 2018, il a inauguré une nouvelle ère de protection des données dans l'UE. Du moins sur le papier. Les consommateurs ont reçu les outils nécessaires pour défendre leurs droits fondamentaux, tandis que les autorités ont reçu de sérieux pouvoirs d'enquête et la possibilité de sanctionner les infractions par de lourdes amendes. Près de sept ans plus tard, la réalité est beaucoup plus sombre. À l'occasion de la Journée de la protection des données de cette année, le 28 janvier, noyb a analysé les statistiques actuelles de l'EDPB sur l'(in)activité des autorités nationales de protection des données (APD). Les données montrent qu'en moyenne, seulement 1,3 % des affaires dont sont saisies les autorités de protection des données aboutissent à une amende. Cependant, les professionnels de la protection des données les professionnels de la protection des données affirment que les amendes sont le moyen le plus efficace de s'assurer que les entreprises respectent la loi.
Une application stricte du GDPR seulement sur le papier. Lorsque le règlement général sur la protection des données (RGPD) est entré en vigueur en mai 2018, il promettait un changement vers une approche sérieuse de la protection des données. Les consommateurs européens touchés par des violations de la vie privée ont reçu les outils nécessaires pour se plaindre auprès de leurs autorités nationales de protection des données (APD) - qui ont été dotées des pouvoirs nécessaires pour enquêter sur toutes sortes de violations et infliger des amendes administratives afin d'éviter des infractions similaires à l'avenir. Malheureusement, les sept dernières années ont montré qu'il ne s'agissait là que de vœux pieux. C'est ce que confirme une nouvelle étude du noyb des statistiques de l'EDPB Statistiques de l'EDPB sur l'activité des autorités entre 2018 et 2023 : En moyenne, seulement 1,3 % des affaires portées devant les DPA aboutissent effectivement à une amende. Cela correspond à notre propre expérience pratique : La plupart des affaires traînent pendant plusieurs années avant d'être clôturées par un règlement ou d'être entièrement rejetées.
Max Schrems : "Les autorités européennes de protection des données disposent de tous les moyens nécessaires pour sanctionner de manière adéquate les violations du GDPR et infliger des amendes qui empêcheraient des violations similaires à l'avenir. Au lieu de cela, elles font souvent traîner les négociations pendant des années - pour décider trop souvent contre les intérêts du plaignant."
Pas de véritable exemple positif. Si certaines autorités de protection des données semblent imposer beaucoup plus d'amendes que d'autres, les chiffres sont tous de l'ordre d'un pourcentage à un chiffre, voire moins. Ayant imposé des amendes dans 6,84 % de tous les cas (en comptant à la fois les plaintes et les enquêtes d'initiative) entre 2018 et 2023, l'APD slovaque est en tête des statistiques. Elle est suivie par la Bulgarie (4,19 %), Chypre (3,12 %), la Grèce (2,65 %) et la Croatie (2,54 %). À l'autre bout du spectre, l'autorité néerlandaise a infligé des amendes dans 0,03 % ( !) de tous les cas, suivie de près par la France (0,10 %), la Pologne (0,18 %), la Finlande (0,21 %), la Suède (0,25 %) et, bien sûr, l'Irlande (0,26 %). Les autres pays se situent entre ces deux extrêmes.
Cliquez ici pour voir la version interactive de la carte ci-dessous.
Cliquez ici pour voir la version interactive de la carte ci-dessus.
Un phénomène spécifique à la protection des données. Cette absence apparente de conséquences graves pour les violations de la loi semble être très spécifique à la protection des données. Prenons l'exemple de l'Espagne : En 2022, l'autorité espagnole de protection des données a reçu 15 128 plaintesmais n'a prononcé seulement 378 amendes. Cela signifie que, statistiquement, seulement 2,5 % de toutes les plaintes ont abouti à une amende. Cela inclut des infractions évidentes telles que des demandes d'accès sans réponse ou des bannières de cookies illégales, qui pourraient - en théorie - être traitées rapidement et de manière standardisée. À titre de comparaison : 3.7 millions de contraventions pour excès de vitesse ont été délivrées en Espagne en 2022 (à l'exclusion du Pays basque et de la Catalogne). Une comparaison similaire peut être faite pour pratiquement tous les autres États membres de l'UE autres États membres de l'UE.
Max Schrems : "D'une certaine manière, seules les autorités chargées de la protection des données ne sont pas motivées pour faire appliquer la loi qui leur a été confiée. Dans tous les autres domaines, les violations de la loi entraînent régulièrement des amendes et des sanctions. À l'heure actuelle, les autorités chargées de la protection des données semblent souvent agir dans l'intérêt des entreprises plutôt que dans celui des personnes concernées"
Les données montrent que plus d'amendes = plus de conformité. Si ces chiffres ne sont guère surprenants, ils n'en sont pas moins alarmants. A noyb auprès des professionnels de la protection des données montre que ce sont précisément les amendes qui incitent les entreprises à se conformer à la loi. Interrogés sur les mesures d'application les plus efficaces, 67,4 % des répondants ont déclaré que les décisions de l'autorité de protection des données prises à l'encontre de leur propre entreprise et assorties d'une amende inciteront les décideurs à se conformer davantage à la loi. Il est intéressant de noter que 61,5 % des personnes interrogées ont déclaré que même les amendes infligées par le DPA à d'autres organisations influenceraient la conformité de leur propre entreprise au GDPR.
Cliquez ici pour voir le graphique interactif ci-dessus.
Les amendes imposées sont une plaisanterie. Si l'on examine de plus près le montant des amendes imposées chaque année par les autorités nationales, le problème est encore plus clair. L'Irlande (475 902 000 € d'amende moyenne par an) et le Luxembourg (124 395 729 € d'amende moyenne par an) sont de loin en tête des statistiques pour la période 2018-2023. À première vue, cela peut sembler beaucoup d'argent. Mais ce n'est pas le cas. Presque toutes les grandes entreprises technologiques comme Apple, Google, Meta et Microsoft sont situées en Irlande, ce qui fait du CPD irlandais l'autorité principale pour certaines des affaires les plus importantes. Le Luxembourg, quant à lui, est responsable d'entreprises telles qu'Amazon. En réalité, le CPH doit être contraint à sa propre chance. noybde la noyb affaires contre Meta ont dû faire un détour par l'EDPB avant que le DPC ne condamne finalement l'entreprise à une amende totale de près de 1,6 milliard d'euros. Si l'on retire cette somme, il ne reste plus grand-chose.
Plus de budget, plus de décisions ? Certaines autorités ne cessent de répéter qu'il leur suffirait de disposer de plus de budget et de ressources pour prendre des décisions plus opportunes - et à fort impact. Si l'on examine les statistiques de l'EDPBle budget des autorités a augmenté de 130 % entre 2020 et 2024. L'autorité néerlandaise, par exemple, a enregistré une augmentation de 62 % de son budget en quatre ans, sans que le nombre d'amendes infligées ait augmenté de manière significative. Pour mettre les choses en perspective : En 2023, la DPA néerlandaise disposait d'un budget de près de 37 millions d'euros, mais n'a infligé que 1,98 million d'euros d'amendes. Cela représente une différence de près de 35 millions d'euros, ce qui laissera un énorme trou dans le budget de l'État. Toutefois, ce manque à gagner pourrait être compensé par une application rigoureuse de la loi. Les amendes GDPR vont à l'État de l'autorité principale.
Cliquez ici pour voir le graphique entièrement interactif ci-dessous.
Cliquez ici pour voir le graphique interactif ci-dessus.
Près de 40 % des amendes grâce au noyb. Cette tendance se retrouve dans l'ensemble de l'UE : Entre 2018 et 2023, toutes les autorités de protection des données de l'UE ont infligé un total combiné de 4,29 milliards d'euros d'amendes - dont 1,69 milliard d'euros résultant de l'utilisation du noyb . En d'autres termes : Près de 40 % de toutes les amendes imposées dans le cadre du GDPR sont liées à des litiges de type noyb. Cela signifie qu'en réalité, il semble y avoir un manque de volonté politique pour s'opposer aux géants de la technologie plutôt qu'un manque de possibilités d'agir.
