Bilan du RGPD : 4,2 milliards d’euros d’amendes, des efforts à faire sur la coopération
Ça ne fait que six ans après tout
La semaine dernière, la Commission européenne a publié son deuxième rapport sur l’application du règlement général sur la protection des données. Le RGPD a pour rappel été publié en avril 2016 pour une entrée en vigueur le 25 mai 2018. Le rapport donne quelques chiffres et présente un plan d’actions.
Le 30 juillet à 16h20
6 min
Droit
Droit
Un premier rapport de la Commission européenne avait été mis en ligne en juin 2020, avec notamment « une série d’initiatives visant à placer les personnes physiques au centre de la transition numérique ». Un nouveau rapport doit être publié tous les quatre ans (article 97 du RGPD). C'est donc l’heure de mettre en ligne le second, six ans déjà après l’entrée en vigueur du règlement européen.
On vous propose un petit résumé. Dans les grandes lignes, le rapport ne préconise pas de changement en profondeur du règlement, mais pointe certains éléments nécessitant une attention particulière.
La protection des données à travers les frontières européennes
La Commission explique que « le nombre d’affaires transfrontières a considérablement augmenté ces dernières années. Les autorités chargées de la protection des données ont démontré une volonté accrue d’utiliser les outils de coopération prévus par le RGPD ».
Selon le rapport, toutes les autorités nationales en charge de la protection des données « ont eu recours à l’outil d’assistance mutuelle », tel qu'il a été prévu à l’article 61. Il définit pour rappel la coopération entre les CNIL avec une obligation d’assistance mutuelle dans la mise en œuvre du RGPD.
Toujours sur la partie transfrontalière, le rapport précise que les autorités n’ont toujours pas utilisé « de manière significative » les opérations conjointes prévues à l’article 62. La Commission rappelle que des lignes directrices sur ces opérations ont été adoptées début 2021.
Les décisions des autorités « fréquemment » attaquées
Dans l’arsenal coercitif, les autorités disposent de mesures qui peuvent considérablement varier de l’une à l’autre : « Outre les amendes, les mesures correctrices les plus couramment utilisées étaient les avertissements, les blâmes et les injonctions de se conformer au RGPD ».
Le rapport précise que les décisions pour violation du RGPD sont « fréquemment » attaquées devant les tribunaux, « le plus souvent pour des motifs procéduraux ». Pas tant sur le fond des problèmes liés au RGPD, mais sur la forme de la procédure.
Le délai médian de traitement des réclamations (de la réception à la clôture) « varie de 1 à 12 mois et est inférieur ou égal à trois mois dans cinq États membres » : Danemark, Espagne, Estonie, Grèce et Irlande. Le délai de la France n’est pas précisé, mais il est forcément supérieur à trois mois.
20 000 règlements à l’amiable, 6 680 amendes
Le rapport est l’occasion de faire un bilan chiffré. Les autorités « ont lancé plus de 20 000 enquêtes de leur propre initiative » et reçoivent collectivement « plus de 100 000 réclamations par an ». Sur cet ensemble, « 20 000 réclamations ont été réglées à l’amiable », une procédure principalement utilisée en Autriche, en Hongrie, au Luxembourg et en Irlande.
Au total, « les autorités chargées de la protection des données ont infligé plus de 6 680 amendes pour un montant d’environ 4,2 milliards d’euros ». Sans surprise, l’autorité irlandaise a infligé les plus grosses amendes pour 2,8 milliards d’euros.
Comme le rappelait Le Monde l’année dernière, l’Irlande accueille les sièges européens d’Alphabet (Google, YouTube), Meta (Facebook, Instagram, WhatsApp) et Microsoft. Elle « est donc en première ligne pour enquêter sur les plaintes visant les plus grandes entreprises mondiales du secteur ». Mais, selon l’Irish Council for Civil Liberties (ICCL), ce régulateur national « manque de fermeté ». L’addition pourrait ainsi être largement plus élevée.
Au niveau des plus grosses amendes, le Luxembourg arrive en deuxième position avec 746 millions d’euros. L’Italie (197 millions d’euros) se place sur la troisième marche du podium et la France (131 millions d’euros) se classe donc en quatrième position. Le Liechtenstein est le dernier de la liste avec 9 600 euros « seulement ».
Le rapport dresse un bilan des décisions des autorités nationales imposant une mesure correctrice. En 2022, l’Allemagne était largement en tête avec 3 261 décisions, suivie par l’Espagne qui était néanmoins très loin avec seulement 774 décisions. La Lituanie (308) et l’Estonie (332) complètent le palmarès.
DPO et PME au centre des préoccupations
Le rapport revient sur les délégués à la protection des données (DPO) pour lesquels « plusieurs défis restent à relever ». La Commission met en avant des difficultés à nommer des DPO « possédant l’expertise requise », l’absence de normes Européenne « en matière d’éducation et de formation » et d’intégration des DPO dans les processus organisationnels. Le manque de ressources est aussi pointé du doigt par le rapport.
Dans sa conclusion, la Commission rappelle les deux principaux objectifs du RGPD : « une protection solide pour les personnes physiques tout en garantissant le libre flux des données à caractère personnel au sein de l’UE et des flux de données sûrs en dehors de l’UE ».
Elle recommande aussi d’« intensifier encore les efforts visant à soutenir le respect des règles par les PME ». Cela passe par « des outils sur mesure », un accompagnement « dans leurs efforts de mise en conformité » et, bien évidemment, « un soutien financier aux autorités chargées de la protection des données pour toutes les activités qui facilitent la mise en œuvre des obligations du RGPD par les PME ».
Dans le premier rapport de 2020 déjà, la Commission demandait « que les efforts visant à soutenir le respect du RGPD par les PME soient intensifiés ». Il faut donc continuer le travail entrepris… il serait temps, avec un RGPD en vigueur depuis plus de six ans.
Renforcer l’Union européenne par des « coopération efficaces »
Dans sa conclusion, la Commission appelle à « une interprétation et une application cohérentes du RGPD dans l’ensemble de l’Union », ce qui passe notamment par une stratégie internationale et la mise « en place des structures de coopération efficaces ».
Elle demande aussi de faire un usage « plus exhaustif des outils de coopération fournis par le RGPD, de sorte que le règlement des litiges ne soit qu'une solution de dernier ressort ». Il faut également que les autorités chargées de la protection des données disposent de ressources suffisantes. Comme pour les PME, l’argent est un des nerfs de la guerre.
De son côté, la Commission va continuer d'utiliser les outils à sa disposition, notamment les « procédures d’infraction, pour veiller à ce que les États membres respectent le RGPD ».
Bilan du RGPD : 4,2 milliards d’euros d’amendes, des efforts à faire sur la coopération
-
La protection des données à travers les frontières européennes
-
Les décisions des autorités « fréquemment » attaquées
-
20 000 règlements à l’amiable, 6 680 amendes
-
DPO et PME au centre des préoccupations
-
Renforcer l’Union européenne par des « coopération efficaces »
Commentaires (35)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousModifié le 30/07/2024 à 16h28
Je me demande quel serait le montant "réaliste" que l'Irlande aurait pu récolter en amendes
Le 30/07/2024 à 21h56
Le 31/07/2024 à 01h04
Le 31/07/2024 à 10h35
Le 31/07/2024 à 10h42
Ce n’est pas la première fois, ni la dernière fois qu’on réutilise une image de Flock et cela n’empêche évidemment pas d’avoir régulièrement des créations originales. Les NAS ce matin, une autre arrive dans la matinée, le serpent IA hier, les coupures fibres…
Le 31/07/2024 à 13h28
Le 31/07/2024 à 17h24
C’était juste l’occasion de confirmer et expliquer notre manière de faire
Le 30/07/2024 à 16h43
Le 30/07/2024 à 16h49
Le 30/07/2024 à 16h53
Le 30/07/2024 à 17h31
Le 30/07/2024 à 17h47
Le 30/07/2024 à 19h13
Le 31/07/2024 à 10h56
Le 31/07/2024 à 19h05
Le 01/08/2024 à 15h10
Modifié le 30/07/2024 à 18h24
Tu as un exemple de ces lois?? Un lien vers Légifrance, par exemple.
Le 30/07/2024 à 18h44
Le 30/07/2024 à 21h54
Pire, pour faire ses courses, on demande une CNI (si vous payez par chèque).
Comme manifestement, tu as sollicité ton service juridique, pourquoi ne pas nous donnez ici leurs analyses étayées ??
Le 31/07/2024 à 10h58
Le 31/07/2024 à 11h05
Le 31/07/2024 à 11h08
Je n'ai pas dit, "l'obligation de divulguer ses données personnelles a démarré suite à la loi sapin 2".
Le 31/07/2024 à 08h12
Etre obligé de s'identifier auprès d'une banque pour ouvrir un compte ou contracter un pret alors que croire sur parole aurait été tellement plus simple et que l'usurpation d'identité est une chimère montée de toutes pièces par l'Etat pour nous soutirer nos informations personnelles.
Le 31/07/2024 à 09h00
C'est d'ailleurs bien pour ça qu'avec mon côté parano, je mets toujours un filigrane sur les documents d'identité que je transmets, avec la date + l'organisme + le but recherché. Ainsi, s'il y a une fuite :
1) je sais d'où elle vient
2) le document ne peut pas être réemployé (et si il l'est, l'organisme l'ayant fait sera en tort car accepter un document sur lequel il est marqué à usage exclusif de XXX, c'est une faute de sa part)
Le 31/07/2024 à 09h22
La responsabilité et la durée de la conservation des données personnelles fait partie du RGPD dont l'article parle.
Le 31/07/2024 à 09h31
Je ne dis pas que c'est ce que dit user6811, je dis que c'est comme ça que je l'ai compris. En tant que chef d'entreprise par exemple, j'ai des obligations légales qui vont "à l'encontre" du principe de minimisation des données prévues par le RGPD.
Le 31/07/2024 à 09h53
Dans ce registre, la nature des données à conserver et leur durée de conservation dépend de la réglementation et/ou de la législation en vigueur. C'est aussi dans ce registre qui tu décris la méthode mise en place pour protéger ces données.
Je ne vois donc pas pourquoi tu parles de "à l'encontre"...
A moins que tu fasses comme user6811 et que tu considères que certaines demandes soient inutiles.
Le 31/07/2024 à 10h21
Exemple : les informations concernant mes anciens employés (fiches de paies, contrat, etc.) je dois les conserver pendant 5 ans après son départ (aspect légal) alors qu'en pratique, je n'en ai plus besoin au bout de quelques mois car je n'ai plus de traitement à ce sujet (les cotisations sont payées, etc.).
Le principe du RGPD voudrait que je supprime ces données (cf. article 5 du RGPD). La loi m'impose de les conserver.
Alors certes, il existe des cas où ces données pourraient encore me servir. Par exemple, si un employé m'attaquait au prud'homme. Mais les délais sont plus court (2 ans). Contrôle URSSAF ? 3 ans. Contrôle fiscal ? 3 ans aussi. Je dois donc légalement conserver des informations totalement inutiles pendant 2 ans de trop.
C'est en cela que je dis que ça va à l'encontre du principe de minimisation prôné par le RGPD.
Le 31/07/2024 à 11h00
Le 31/07/2024 à 08h48
Le 31/07/2024 à 11h01
Le 01/08/2024 à 00h43
Le 01/08/2024 à 15h06
Le 30/07/2024 à 22h34
Hakuna Madata !
Mais quels jolis mots !
Hakuna Madata !
Pas de soucis pour les infos !
Ce sont tes données personnelles,
Libérées, sans querelle,
Hakuna Madata !
Ces p'tites infos, j'ai dû les donner,
Quand j'visite des sites pour rigoler,
Ils m'ont dit, pas de problème !
Juste un petit formulaire, et on se connaît !
Oh, qu'importe les préférences,
Cookies, traceurs, tout est dans la danse !
Hakuna Madata !
Mais quels jolis mots !
Hakuna Madata !
Pas de soucis pour les infos !
Ce sont tes données personnelles,
Libérées, sans querelle,
Hakuna Madata !
Et bien sûr, quand tu navigues en ligne,
Tu laisses des traces, sans même savoir la combine,
Les pubs ciblées, elles savent tout de toi,
Tes goûts, tes envies, même où t'habites toi !
T'inquiète, c'est pour améliorer,
Ton expérience sur le web, t'façon c'est payé !
Hakuna Madata !
Mais quels jolis mots !
Hakuna Madata !
Pas de soucis pour les infos !
Ce sont tes données personnelles,
Libérées, sans querelle,
Hakuna Madata !
Le 04/08/2024 à 11h53
Inspiré pour une prochaine actu ?