Les amendes du RGPD montent en flèche au T3, le Luxembourg en tête
Le Luxembourg sort en tête de la liste des pays européens qui ont émis des amendes pour la protection des données, représentant près des trois quarts de toutes les sanctions émises au cours du dernier trimestre.
Selon les données compilées par le cabinet d’études Finbold, le montant des amendes infligées pour violation du règlement général sur la protection des données (RGPD) en Europe a augmenté de manière exponentielle au T3 de cette année, tombant juste en deçà de 1 milliard d’euros (984,47 millions d’euros).
C’est presque 20 fois plus élevé que les amendes cumulées au cours des deux trimestres précédents (50,26 millions d’euros). Les amendes du T3 ont également été trois fois plus élevées que les 306,3 millions d’euros imposés sur l’ensemble de l’année 2020.
Deux amendes en particulier, infligées respectivement à Amazon et WhatsApp, ont été responsables de la quasi-totalité des chiffres du T3. Le 16 juillet, Amazon EuropeCore a été condamné à une amende de 746 millions d’euros et invité à modifier sa manière de traiter les données des consommateurs.
La plainte a été initialement déposée en 2018 par le groupe français de défense des droits à la vie privée. Le groupe dénonçait des pratiques publicitaires d’Amazon non basées sur le libre consentement. Cependant, en vertu du droit de l’UE, une entreprise peut choisir de défendre une affaire dans n’importe lequel des états de l’UE dans lesquels elle opère. Amazon a choisi le Luxembourg et son autorité de protection des données (DPA) pour gérer l’enquête.
En même temps, en septembre, la Commission irlandaise de protection des données (DPC) a infligé une amende de 225 millions d’euros à la plate-forme de messagerie de médias sociaux WhatsApp, à la suite d’une enquête de trois ans visant à déterminer si sa politique de confidentialité fournit aux utilisateurs suffisamment de détails sur la façon dont leurs données sont utilisées.
L’amende initiale de la DPC irlandaise a été fixée entre 30 et 50 millions d’euros, puis contestée par d’autres régulateurs européens qui ont renvoyé l’affaire devant le Comité européen de la protection des données, qui a imposé une amende plus lourde.
Jusque-là, la plus grande amende pour une violation du RGPD au sein de l’UE s’élevait à 50 millions d’euros, infligée à Google en 2019 pour ses pratiques publicitaires.
Bien que les affaires Amazon et WhatsApp faussent les statistiques du 3e trimestre, elles mettent en évidence deux tendances significatives en ce qui concerne l’application de la protection des données au sein de l’UE.
Premièrement, le montant des pénalités augmente. Cela ne fait que trois ans que le RGPD est entré en vigueur. Deuxièmement, le fait que les entreprises puissent choisir quel état de l’UE gère une enquête peut conduire à une concentration des affaires dans des pays comme le Luxembourg, où de nombreuses entreprises basent leur siège européen. Comme dans l’affaire WhatsApp, d’autres régulateurs nationaux peuvent aussi intervenir s’ils estiment que l’amende infligée par l’APD n’est pas suffisamment punitive.
En outre, selon Finbold, la pandémie a poussé les régulateurs à adopter une position plus clémente en 2020. « La période a vu les entreprises subir des difficultés financières. Par conséquent, on peut supposer que les amendes élevées en 2021 indiquent que le coussin financier émanant de la pandémie n’est plus applicable, car la plupart des pays reprennent des activités économiques normales au milieu des campagnes de vaccination », indique le rapport.
