RGPD : 5 milliards d'euros d'amendes en cinq ans, mais pour quels résultats ?

En cinq ans, environ 5 milliards d'euros d'amendes ont été prononcés par les différentes autorités européennes de protection des données, contre des milliers d'entreprises et d'organisations. Très efficace pour pousser les PME et TPE à la conformité, l'arme des sanctions s'est révélée moins dissuasive que prévu pour les géants du numérique. Ceux-ci regorgent de stratagèmes pour retarder et diluer une amende qui, de toutes façons, impacte peu leur trésorerie et ne les pousse que marginalement au changement de leurs pratiques.
Sylvain Rolland
(Crédits : MiamiAccidentLawyer - Pixabay)

C'est l'une des principales innovations du Règlement général sur la protection des données (RGPD) : donner, enfin, aux régulateurs européens la capacité de frapper durement au portefeuille les entreprises et organisations qui violent la loi. Le texte prévoit une amende maximale de 20 millions d'euros ou, pour les plus grosses entreprises, jusqu'à 4% du chiffre d'affaires mondial de l'année précédente, sachant que le montant le plus élevé entre ces deux options doit être privilégié. Pour les personnes physiques, le RGPD prévoit jusqu'à 300.000 euros d'amende et 5 ans d'emprisonnement, mais le volet pénal des sanctions a été peu utilisé.

En revanche, les régulateurs des données ne se sont pas privés pour prononcer de lourdes amendes contre les entreprises récalcitrantes. En cinq ans, d'après les chiffres du gendarme français des données, la Cnil, révélés à La Tribune, environ 5 milliards d'euros d'amendes ont été prononcés en Europe, dont 500 millions d'euros en France. Ce montant est certainement sous-évalué, car de nombreuses (petites) amendes ne sont pas rendues publiques.

Lire aussiMarie-Laure Denis (Cnil) : « Le RGPD est une illustration concrète de la troisième voie européenne face aux Etats-Unis et à la Chine »

Les géants américains passent à la caisse

Sans surprise, les géants américains du numérique concentrent les plus grosses amendes. Et particulièrement Meta, la maison-mère de Facebook, WhatsApp et Instagram. L'empire des réseaux sociaux de Mark Zuckerberg a fondé sa puissance sur l'exploitation des données personnelles de ses membres. Le géant voit son modèle économique menacé par l'application stricte du RGPD. Sans surprise, Meta a été l'entreprise la plus attaquée en justice, et aussi la plus condamnée. En cinq ans, la Cnil irlandaise, pays où se situe son siège social, a prononcé cinq amendes, pour un montant total de 2,28 milliards d'euros. Autrement dit, à lui seul, Meta concentre donc près de la moitié des amendes prononcées en Europe au nom du RGPD !

La firme de Mark Zuckerberg détient aussi le triste record de l'amende la plus importante jamais prononcée en Europe : 1,2 milliard d'euros en mai 2023. Un montant qui donne le tournis, mais qui est vite relativisé : il représente 1,1% du chiffre d'affaires mondial de l'entreprise, c'est-à-dire pas grand-chose, alors que l'amende peut grimper, en théorie, jusqu'à 4% du chiffre d'affaires annuel. Le motif : avoir continué ses transferts de données aux Etats-Unis hors de tout cadre légal depuis l'annulation du Privacy Shield en 2020, qui régissait les transferts de données entre les deux continents.

Petite subtilité : si Meta a concentré la plupart des amendes, d'autres sanctions ont frappé spécifiquement certaines de ses filiales, pour des montants non-négligeables. Ainsi, WhatsApp s'est vu condamné à payer 230 millions d'euros en Irlande (225 millions en septembre 2021 et 5 millions en janvier 2023), tandis que la Cnil française a chargé Facebook d'une amende de 60 millions d'euros en décembre 2021. En cause : la légèreté de l'empire américain des réseaux sociaux sur la sécurité des données, leur transfert aux Etats-Unis et l'information des utilisateurs, notamment.

La deuxième amende la plus importante revient à Amazon, sanctionné de 746 millions d'euros par la Cnil du Luxembourg en juillet 2021, pour l'ensemble de son œuvre (« non-respect général des principes du RGPD »).

De son côté, Google cumule 215,6 millions d'euros d'amendes, dont 200 millions pour la France. Microsoft et Apple sont, pour l'instant, les moins touchés. Microsoft a été condamné à payer 60 millions d'euros par la Cnil française fin 2022 au titre de la réglementation sur les cookies (les traceurs d'activités sur internet), et Apple à 8 millions d'euros en janvier 2023, toujours en France. De multiples plaintes encerclent toutefois encore les deux géants. Il faut également noter que certaines des amendes les plus récentes n'ont pas encore été payées : les entreprises utilisent tous les recours légaux à leur disposition, notamment les procédures d'appel, pour retarder l'échéance.

Lire aussiRGPD : Meta condamné à une amende de 1,2 milliard d'euros, la plus élevée jamais infligée en Europe

Une goutte d'eau pour les plus gros

Si, à première vue, le milliard d'euros réclamé à Meta ou les 750 millions demandés à Amazon ont de quoi donner le tournis, l'amende relève en réalité de la « goutte d'eau » à peine dissuasive. « Les géants américains gagnent davantage d'argent à violer la loi qu'à payer les amendes », déplore Arno Pons, du think tank Digital New Deal. D'autant plus que les Gafam sont maîtres dans l'art de s'engouffrer dans chaque faille de la législation.

« La grande faiblesse des sanctions est que la procédure prend des années pour aboutir à la décision d'amende, et il faut encore des années le temps qu'elle soit payée, car elles sont toujours contestées », ajoute Arno Pons.

Un écueil partagé par la Cnil, le gendarme français des données, qui aimerait pouvoir sanctionner plus rapidement. Elle attend avec impatience la promulgation d'une nouvelle loi européenne qui harmonisera les procédures nationales sur le plan répressif. Les nombreux experts juridiques consultés par La Tribune sont du même avis.

« Quand on regarde sous le vernis des amendes, le montant paraît trop peu élevé au regard de la durée de la procédure, du chiffre d'affaires de ces sociétés, et du gain engrangé pendant toutes les années à violer le RGPD », décrit Pierre-Emmanuel Frogé, avocat au cabinet BCLP.  Il conclut : « Les amendes émoustillent très peu les Gafam ».

En revanche, les amendes jouent leur rôle dissuasif auprès de la plupart des autres entreprises. « Si les amendes peuvent glisser sur les plus grosses entreprises, elles représentent un préjudice important pour toutes les autres, sans compter les dégâts en terme de réputation si l'amende est publique », indique l'avocat Alexandra Iteanu, avocate au barreau de Paris, responsable du pôle data et RGPD au sein du cabinet Iteanu Avocats.

C'est pourquoi les mises en demeure du régulateur sont, la plupart du temps, suffisantes pour faire changer les pratiques problématiques. En France, 90% des mises en demeure de la Cnil ne sont pas suivies de sanctions, les entreprises préférant la mise en conformité que le préjudice financier et la tache sur leur réputation. Deux écueils qui, encore, ne touchent pas les Gafam. Malgré la dégradation importante de leur image ces dernières années, et la multiplication des procédures au titre du RGPD ou du droit de la concurrence, les géants américains ont acquis une telle position hégémonique sur les marchés numériques que leur utilisation est peu remise en question par les consommateurs. Cette situation alimente les griefs des « anti-RGPD », qui estiment que ceux qui violent le plus la loi sont au final ceux qui ont le plus de facilités à s'en accommoder.

Continuer et amplifier pour créer l'effet dissuasif

De son côté, la Cnil considère que les amendes du RGPD sont efficaces pour pousser, petit à petit, les géants du numérique à changer leurs pratiques. « Il est vrai qu'un très gros acteur du numérique peut, en quelque sorte, avoir la tentation d'« acheter » sa non-conformité pendant quelques années, mais il est faux de dire que les amendes sont inefficaces, car les pratiques sont vraiment en train de changer », estime la présidente du régulateur français des données, Marie-Laure Denis, dans un entretien exclusif à La Tribune.

Pour la Cnil, le véritable game changer des amendes est qu'elles sont dans la plupart des cas assorties d'injonctions à modifier les traitements de données problématiques. Problème : un acteur comme Meta, Google ou Amazon est potentiellement problématique sur de très nombreux traitements de données... Or, chaque problème doit faire l'objet de sa propre plainte et de sa propre sanction.

« A partir de quel moment est-il plus intéressant pour les Gafam d'avoir une vraie démarche systémique de mise en conformité, plutôt que de réagir traitement par traitement, amende par amende ? Eux seuls ont la réponse », s'interroge un interlocuteur au sein de la Cnil.

Autrement dit, malgré leurs déclarations de soutien à la régulation en général et au RGPD en particulier, les géants du numérique américains choisissent la conformité en dernier recours, car celle-ci menace une partie de leur modèle économique. Seule solution : frapper toujours plus vite et toujours plus fort, oser aller jusqu'à 4% du chiffre d'affaires mondial - soit 4,34 milliards d'euros pour Meta, presque quatre fois plus que le record de 1,2 milliard d'euros de sa dernière amende - pour atteindre enfin le point de bascule où l'amende deviendra vraiment dissuasive.

Sylvain Rolland

Sujets les + lus

|

Sujets les + commentés

Commentaires 3
à écrit le 27/05/2023 à 18:36
Signaler
Que de souvenirs, l'époque où l'état français voulait mettre les jeunes codeurs en prison ! J'étais jeune et je commençais à coder.Début des années 2000 j'ai reçu, ce message : "300.000 euros d'amende et 5 ans de prison" de la part de la Cnil et ou...

à écrit le 27/05/2023 à 7:08
Signaler
Entre le dynamise des GAFAM et le comas intellectuel des dirigeants européistes on ne peut que parier sur ces premiers.

le 27/05/2023 à 11:34
Signaler
version hypocrite de ces jugements penalise les entreprises qui sont neutre mais qui decide ce n'est pas un logo un enseigne mais bien une personne qui elle n'est pas responsable et continue le mauvais chois sans etre inquiete idem pour les magist...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.