Enquête DLA Piper GDPR and Data Breach survey : janvier 2023
Un rapport réalisé par l'équipe de cybersécurité et protection des données de DLA PiperDepuis le 18 janvier 2022, les autorités européennes de contrôle de la protection des données ont émis un total de 1,64 milliard d'euros d'amendes. Soit une augmentation de 50 % du montant global des amendes RGPD déclarées.
Ce chiffre est tiré de la dernière enquête annuelle de DLA Piper sur ce sujet mené auprès des 27 États membres de l'Union européenne, du Royaume-Uni, de la Norvège, de l'Islande et du Liechtenstein. Cela représente plus du double de la valeur globale des amendes émises en 2021. Cette augmentation démontre la confiance croissante des autorités de contrôle de la protection des données et leur volonté d'imposer des amendes élevées en cas de violation du RGPD. Elle a également été influencée par l'utilisation des mécanismes de coopération et de cohérence du RGPD et par l’exigence répétée du Conseil européen de la protection des données (CEPD) d’augmenter significativement les amendes proposées par les autorités européenne de contrôle. En moyenne, les amendes soumises à la décision du CEPD en 2022 ont été augmentées de 630 %.
Comme le prévoyait l'enquête de l'année dernière, les technologies publicitaires et la publicité comportementale ont constitué une priorité en matière d'application de la loi cette année. Ainsi, Le groupe Meta s'est vu infliger certaines des amendes les plus importantes, la Commission irlandaise de protection des données ayant infligé des amendes de 210 millions d'euros (223 millions de dollars/183 millions de livres sterling) à Facebook et de 180 millions d'euros (191 millions de dollars/157 millions de livres sterling) à Instagram pour leurs pratiques de profilage.
Commentant les résultats de l'enquête, Denise Lebeau-Marianna, Location Head France de l’équipe IP&T (Intellectual Property & technology) en charge de la pratique Protection des données et Cybersécurité, a déclaré : « La série d'amendes infligées en 2022 par le commissaire irlandais à la protection des données et visant les modèles publicitaires alimentées par les données personnelles pose les prémices d’une ligne de plus en plus dure engagée par les autorités européennes contre les entreprises dont l’activité repose pour une grande partie sur ces modèles qui sont au cœur de l'internet "gratuit" d'aujourd'hui,. Compte tenu de l'enjeu, nous pouvons nous attendre à des années d'appels et de litiges. Le droit des données personnelles est donc loin d'être fixé sur ces questions, de même que celles liées à l’Intelligence artificielle dont les algorithmes nécessitent l’utilisation d’un grand nombre de données avec une grande proportion de données personnelles engendrant de ce fait de nombreux risques et sans aucun doute des sanctions à la clé. »
Cette année, l'Irlande domine le classement des dix amendes les plus importantes, la Commission irlandaise de protection des données ayant infligé cinq des dix amendes les plus élevées de ce classement. L'Irlande est également en tête du classement du montant total des amendes infligées par pays, avec un total de plus de 1 milliard d'euros.
Cette année, les autorités européennes de contrôle ont pris des décisions importantes concernant l'application des exigences de Schrems II et du chapitre V du RGPD à des transferts spécifiques. Elles ont fait valoir qu'il n'est pas possible d'adopter une approche fondée sur le risque lors de l'évaluation des transferts de données à caractère personnel vers des "pays tiers", en faisant valoir essentiellement que ces derniers sont interdits si la simple possibilité d'un accès par un gouvernement étranger donne lieu à un risque de préjudice (aussi insignifiant et improbable soit-il).
Commentant l'enquête, Ewa Kurowska-Tober, Co-Global Chair pour la protection des données et la cybersécurité chez DLA Piper, a déclaré : « Une approche proportionnée et fondée sur le risque de l'interprétation des restrictions du RGPD sur les transferts internationaux de données personnelles n'est pas seulement autorisée mais, selon nous, légalement requise. L'adoption d'une approche "absolutiste" des restrictions de transfert et l'interdiction effective de tout transfert de données personnelles, aussi insignifiant que soit le risque de préjudice, risquent de causer un préjudice réel et durable aux consommateurs. Les transferts présentent de nombreux avantages pour les consommateurs et pour la société, en assurant le développement et le déploiement rapides des vaccins, en permettant une surveillance et une réglementation efficaces des entreprises et en donnant accès aux services en ligne dont bénéficient des milliards de personnes. Nous espérons que les autorités de surveillance reconsidéreront l'approche absolutiste adoptée dans ces premières décisions d'application. »
L'enquête fait également état d'une tendance croissante des autorités européennes de contrôle de la protection des données à s'attaquer ouvertement aux questions d'IA, reconnaissant le lien inextricable entre les systèmes d'IA et les données personnelles. L'enquête prévoit que davantage de lois, d'orientations et de mesures d'application en matière d'IA, y compris de la part des autorités de contrôle de la protection des données, seront édictées dans l'année à venir.
