C'est l'une des principales innovations du Règlement général sur la protection des données (RGPD) : donner, enfin, aux régulateurs européens la capacité de frapper durement au portefeuille les entreprises et organisations qui violent la loi. Le texte prévoit une amende maximale de 20 millions d'euros ou, pour les plus grosses entreprises, jusqu'à 4% du chiffre d'affaires mondial de l'année précédente, sachant que le montant le plus élevé entre ces deux options doit être privilégié. Pour les personnes physiques, le RGPD prévoit jusqu'à 300.000 euros d'amende et 5 ans d'emprisonnement, mais le volet pénal des sanctions a été peu utilisé.
En revanche, les régulateurs des données ne se sont pas privés pour prononcer de lourdes amendes contre les entreprises récalcitrantes. En cinq ans, d'après les chiffres du gendarme français des données, la Cnil, révélés à La Tribune, environ 5 milliards d'euros d'amendes ont été prononcés en Europe, dont 500 millions d'euros en France. Ce montant est certainement sous-évalué, car de nombreuses (petites) amendes ne sont pas rendues publiques.
Sans surprise, les géants américains du numérique concentrent les plus grosses amendes. Et particulièrement Meta, la maison-mère de Facebook, WhatsApp et Instagram. L'empire des réseaux sociaux de Mark Zuckerberg a fondé sa puissance sur l'exploitation des données personnelles de ses membres. Le géant voit son modèle économique menacé par l'application stricte du RGPD. Sans surprise, Meta a été l'entreprise la plus attaquée en justice, et aussi la plus condamnée. En cinq ans, la Cnil irlandaise, pays où se situe son siège social, a prononcé cinq amendes, pour un montant total de 2,28 milliards d'euros. Autrement dit, à lui seul, Meta concentre donc près de la moitié des amendes prononcées en Europe au nom du RGPD !