Edition 2024 de l'enquête annuelle "GDPR & DATA BREACH SURVEY"

La dernière édition 2024 de l’incontournable enquête annuelle "GDPR and Data Breach Survey", de DLA Piper révèle que 2023 a été une année record pour l'application du Règlement Général sur la Protection des Données (RGPD) avec des amendes globales affichant une augmentation de plus de 14 % soit un montant total de 1,78 milliard d'euros dont une amende record de 1,2 milliard d'euros infligée à Meta.

La complexité et l'ampleur de l'application du RGPD continuent de représenter un défi coûteux et incertain pour l'économie des données, avec un total d’amendes cumulées représentant un montant historique se rapprochant des 5 milliards d'euros depuis l’entrée en vigueur du texte.

L'édition 2024 de notre enquête annuelle couvre également l’ensemble des amendes infligées pour un large éventail d'infractions au RGPD dans les 27 États membres de l'Union européenne, ainsi que le Royaume-Uni, la Norvège, l'Islande et le Liechtenstein et fournit un classement des amendes par pays depuis le 28 janvier 2023.

Il en ressort que :

• L’Irlande reste, cette année, en tête avec le plus grand nombre d’amendes infligées en vertu du RGPD depuis le 25 mai 2018, pour un montant total de 2,86 milliards d’euros.
• L’Irlande est aussi en tête de la plus forte amende infligée, en condamnant META à payer une amende de 1,2 milliard d’euros.
• Cette année, les autorités de contrôle européennes ont infligé un total de 1,7 milliard d’euros d’amende depuis le 28 janvier 2023, ce qui représente une augmentation de 14,10% par rapport au montant total des amendes infligées depuis le 28 janvier 2022 (soit 1,56 milliard d’euros).
• Les réseaux sociaux et les géants de la Tech demeurent les principales cibles pour les amendes records parmi les pays couverts par l’enquête. Les dix plus grosses amendes émises depuis le 25 mai 2018 ont été infligées à des entreprises de ce secteur.
• En tenant compte de la marge d'erreur, il n'y a pas eu de changement dans le nombre de notifications de violation effectuées - avec une moyenne de 335 notifications de violation par jour, du 28 janvier 2023 au 27 janvier 2024, contre 328 au cours de la même période l'année dernière.

L'Irlande reste en première position cette année avec le plus grand nombre total d'amendes infligées en vertu du RGPD depuis le 25 mai 2018 et occupe désormais la première place de l'amende la plus élevée jamais infligée, reléguant le Luxembourg à la deuxième place. L’Irlande étant le pays généralement choisi par les entreprises technologiques qui souhaitent établir leur principal établissement au sein de l'UE, il n'est donc pas surprenant qu'elle conserve sa position en tête du classement des pays pour la valeur globale des amendes imposées.  

Les restrictions du RGPD sur le transfert de données personnelles vers des pays tiers restent une priorité pour les autorités de contrôle européennes avec une amende record de 1,2 milliard d'euros infligée à Meta en Irlande, mais aussi de nombreuses actions de mise en conformité prises par les régulateurs européens pour des transferts présumés illégaux de données personnelles. 

Bien que l’augmentation du montant des sanctions de 14,10 % entre 2022 et 2023 soit assez importante, elle reste beaucoup plus faible que les 50 % d’augmentation de l'année dernière (2021-2022). Cette différence s’explique notamment par un certain nombre d'appels réussis dans diverses juridictions qui ont abouti à la réduction des amendes infligées ou, dans certains cas, à leur annulation. A cela s’ajoute la modulation des amendes infligées par les autorités européennes de protection des données à la suite d'avis et de décisions contraignantes du Comité Européen de la Protection des Données (CEPD) dans le cadre du mécanisme de cohérence du RGPD.

Les réseaux sociaux et les géants de la technologie restent soumises aux amendes les plus fortes. Depuis le 25 mai 2018, les dix amendes les plus importantes ont été infligées aux entreprises de ce secteur. Cette année a vu la bataille faire rage autour du « Grand Bargain » qui a permis aux fournisseurs de services de financer le développement de services progressifs pour les consommateurs en échange de la monétisation de leurs données depuis les premiers jours de l'internet. Cet accord est actuellement dans le collimateur des autorités de contrôle européennes et de la plus haute juridiction européenne, la CJUE. Les plans de certains fournisseurs de services basés sur un modèle de « paiement ou consentement » vont donc devoir affronter prochainement les régulateurs et les défenseurs de la vie privée. 

Le non-respect des principes fondamentaux du RGPD continue d'être la justification la plus fréquemment citée pour prononcer les amendes dans les juridictions couvertes par l’étude. Parmi les principaux griefs visés, on note que le non-respect du principe de légalité, d'équité et de transparence qui est l’exigence prioritaire en matière d'application de la loi. La violation du principe d'intégrité et de confidentialité et de l'article 32 connexe - sécurité du traitement - continue également d'être une justification des amendes prononcées dans toutes les juridictions étudiées.

Poursuivant la tendance des deux dernières années, il y a eu en moyenne 335 notifications de violation par jour entre le 28 janvier 2023 et le 27 janvier 2024, contre 328 au cours de la même période l'année dernière. Si l'on tient compte de la marge d'erreur, il n'y a effectivement pas de changement d'une année sur l'autre quant au nombre de notifications d'atteinte à la vie privée. L'Allemagne, les Pays-Bas et la Pologne ont signalé le plus grand nombre de violations de données notifiées entre le 28 janvier 2023 et le 27 janvier 2024, avec respectivement 32 030, 20 235 et 14 167 notifications. Le Danemark est en tête du classement pour le nombre de notifications de violation effectuées pour 100 000 habitants.

John Magee, associé et responsable de la pratique Protection des Données pour le bureau de Dublin, a commenté le rapport : « La Commission irlandaise de protection des données a continué à jouer un rôle central dans l'élaboration de l’interprétation du RGPD cette année, notamment avec des décisions clés et des amendes sur des questions allant de la transparence et du transfert de données à la sécurité de l'information et à la vie privée des enfants. Alors que la commissaire Helen Dixon se retire après une décennie, son héritage de leadership ferme mais équitable ouvre la voie à un nouveau panel de commissaires à la DPC qui continueront à faire face à des défis complexes sous l'œil vigilant du CEPD. Bien que certaines décisions réglementaires clés aient été prises, beaucoup d'entre elles font toujours l'objet d'un appel devant les tribunaux irlandais et européens, ce qui conduit à un paysage juridique non résolu après le RGPD. Pour les entreprises qui naviguent dans ce cadre de protection des données en constante évolution, l'équilibre entre l'adaptabilité stratégique et l'efficacité opérationnelle reste un exercice d'équilibriste ».

Denise Lebeau-Marianna, Location Head France de l’équipe IP&T (Intellectual Property & technology) en charge de la pratique Protection des données et Cybersécurité, ajoute : « Avec la prolifération des nouveaux textes européens régissant l’économie des données (notamment le Data Act et le IA Act) et la sécurité des systèmes (notamment la Directive NIS2, la Directive DORA, le Cyber Resilience Act), l’articulation de ces textes avec le RGPD est plus que jamais un défi et porteuse d’incertitudes juridiques auxquelles les entreprises doivent se préparer au cours des prochaines années. Cette préparation est d’autant plus importante que les autorités de contrôle renforcent leurs actions coercitives avec de plus en plus de technicité en se dotant de compétences professionnelles expertes dans les activités numériques. La gouvernance et une gestion efficace des risques sont donc essentielles pour que les entreprises soient en mesure de faire face à cette complexité et aux risques liés à la conformité, afin d'assurer le plus sereinement possible la continuité de leurs activités ».