Bilan du RGPD : 4,2 milliards d’euros d’amendes, des efforts à faire sur la coopération

La semaine dernière, la Commission européenne a publié son deuxième rapport sur l’application du règlement général sur la protection des données. Le RGPD a pour rappel été publié en avril 2016 pour une entrée en vigueur le 25 mai 2018. Le rapport donne quelques chiffres et présente un plan d’actions.

Un premier rapport de la Commission européenne avait été mis en ligne en juin 2020, avec notamment « une série d’initiatives visant à placer les personnes physiques au centre de la transition numérique ». Un nouveau rapport doit être publié tous les quatre ans (article 97 du RGPD). C'est donc l’heure de mettre en ligne le second, six ans déjà après l’entrée en vigueur du règlement européen.

On vous propose un petit résumé. Dans les grandes lignes, le rapport ne préconise pas de changement en profondeur du règlement, mais pointe certains éléments nécessitant une attention particulière.

• Le RGPD entre en application : 10 questions, 10 réponses

La protection des données à travers les frontières européennes

La Commission explique que « le nombre d’affaires transfrontières a considérablement augmenté ces dernières années. Les autorités chargées de la protection des données ont démontré une volonté accrue d’utiliser les outils de coopération prévus par le RGPD ».

Selon le rapport, toutes les autorités nationales en charge de la protection des données « ont eu recours à l’outil d’assistance mutuelle », tel qu'il a été prévu à l’article 61. Il définit pour rappel la coopération entre les CNIL avec une obligation d’assistance mutuelle dans la mise en œuvre du RGPD.

Toujours sur la partie transfrontalière, le rapport précise que les autorités n’ont toujours pas utilisé « de manière significative » les opérations conjointes prévues à l’article 62. La Commission rappelle que des lignes directrices sur ces opérations ont été adoptées début 2021.

Les décisions des autorités « fréquemment » attaquées

Dans l’arsenal coercitif, les autorités disposent de mesures qui peuvent considérablement varier de l’une à l’autre : « Outre les amendes, les mesures correctrices les plus couramment utilisées étaient les avertissements, les blâmes et les injonctions de se conformer au RGPD ».

Le rapport précise que les décisions pour violation du RGPD sont « fréquemment » attaquées devant les tribunaux, « le plus souvent pour des motifs procéduraux ». Pas tant sur le fond des problèmes liés au RGPD, mais sur la forme de la procédure.

Le délai médian de traitement des réclamations (de la réception à la clôture) « varie de 1 à 12 mois et est inférieur ou égal à trois mois dans cinq États membres » : Danemark, Espagne, Estonie, Grèce et Irlande. Le délai de la France n’est pas précisé, mais il est forcément supérieur à trois mois.

20 000 règlements à l’amiable, 6 680 amendes

Le rapport est l’occasion de faire un bilan chiffré. Les autorités « ont lancé plus de 20 000 enquêtes de leur propre initiative » et reçoivent collectivement « plus de 100 000 réclamations par an ». Sur cet ensemble, « 20 000 réclamations ont été réglées à l’amiable », une procédure principalement utilisée en Autriche, en Hongrie, au Luxembourg et en Irlande.

Au total, « les autorités chargées de la protection des données ont infligé plus de 6 680 amendes pour un montant d’environ 4,2 milliards d’euros ». Sans surprise, l’autorité irlandaise a infligé les plus grosses amendes pour 2,8 milliards d’euros.

Comme le rappelait Le Monde l’année dernière, l’Irlande accueille les sièges européens d’Alphabet (Google, YouTube), Meta (Facebook, Instagram, WhatsApp) et Microsoft. Elle « est donc en première ligne pour enquêter sur les plaintes visant les plus grandes entreprises mondiales du secteur ». Mais, selon l’Irish Council for Civil Liberties (ICCL), ce régulateur national « manque de fermeté ». L’addition pourrait ainsi être largement plus élevée.

Au niveau des plus grosses amendes, le Luxembourg arrive en deuxième position avec 746 millions d’euros. L’Italie (197 millions d’euros) se place sur la troisième marche du podium et la France (131 millions d’euros) se classe donc en quatrième position. Le Liechtenstein est le dernier de la liste avec 9 600 euros « seulement ».

Le rapport dresse un bilan des décisions des autorités nationales imposant une mesure correctrice. En 2022, l’Allemagne était largement en tête avec 3 261 décisions, suivie par l’Espagne qui était néanmoins très loin avec seulement 774 décisions. La Lituanie (308) et l’Estonie (332) complètent le palmarès.

DPO et PME au centre des préoccupations

Le rapport revient sur les délégués à la protection des données (DPO) pour lesquels « plusieurs défis restent à relever ». La Commission met en avant des difficultés à nommer des DPO « possédant l’expertise requise », l’absence de normes Européenne « en matière d’éducation et de formation » et d’intégration des DPO dans les processus organisationnels. Le manque de ressources est aussi pointé du doigt par le rapport.

Dans sa conclusion, la Commission rappelle les deux principaux objectifs du RGPD : « une protection solide pour les personnes physiques tout en garantissant le libre flux des données à caractère personnel au sein de l’UE et des flux de données sûrs en dehors de l’UE ».

Elle recommande aussi d’« intensifier encore les efforts visant à soutenir le respect des règles par les PME ». Cela passe par « des outils sur mesure », un accompagnement « dans leurs efforts de mise en conformité » et, bien évidemment, « un soutien financier aux autorités chargées de la protection des données pour toutes les activités qui facilitent la mise en œuvre des obligations du RGPD par les PME ».

Dans le premier rapport de 2020 déjà, la Commission demandait « que les efforts visant à soutenir le respect du RGPD par les PME soient intensifiés ». Il faut donc continuer le travail entrepris… il serait temps, avec un RGPD en vigueur depuis plus de six ans.

Renforcer l’Union européenne par des « coopération efficaces »

Dans sa conclusion, la Commission appelle à « une interprétation et une application cohérentes du RGPD dans l’ensemble de l’Union », ce qui passe notamment par une stratégie internationale et la mise « en place des structures de coopération efficaces ».

Elle demande aussi de faire un usage « plus exhaustif des outils de coopération fournis par le RGPD, de sorte que le règlement des litiges ne soit qu'une solution de dernier ressort ». Il faut également que les autorités chargées de la protection des données disposent de ressources suffisantes. Comme pour les PME, l’argent est un des nerfs de la guerre.

De son côté, la Commission va continuer d'utiliser les outils à sa disposition, notamment les « procédures d’infraction, pour veiller à ce que les États membres respectent le RGPD ».