Le Luxembourg s’illustre dans l’application de la loi
7ème édition annuelle de l’enquête de DLA Piper sur les amendes et les violations de données liées au GDPR. 1,2 milliard EUR d’amendes infligées en 2024. Les Pays-Bas envisagent des amendes personnelles…
Moins d’amendes 2024, mais pas moins de violations de données… L’Irlande reste une fois de plus le principal organe chargé de l’application de la loi, avec 3,5 milliards EUR d’amendes depuis mai 2018, soit plus de quatre fois la valeur des amendes infligées par l’autorité de protection des données du Luxembourg, qui occupe la deuxième place, et qui a infligé 746,38 millions EUR d’amendes au cours de la même période.
Le total des amendes signalées depuis l’application du GDPR en 2018 s’élève désormais à 5,88 milliards EUR. L’amende la plus importante jamais infligée en vertu du GDPR reste l’amende de 1,2 milliard EUR infligée par la DPC irlandaise à Meta Platforms Ireland Limited en 2023.
Grands entreprises et médias sociaux
Au cours de l’année écoulée depuis le 28 janvier 2024, des amendes de 1,2 milliard EUR ont été infligées. Il s’agit d’une diminution de 33 % par rapport au total des amendes infligées l’année précédente, ce qui va à l’encontre de la tendance à l’augmentation des sanctions depuis 7 ans. Cela ne représente pas un changement d’orientation par rapport à l’application des lois sur les données personnelles, nuance DLA Piper. La tendance claire d’une année sur l’autre reste à la hausse. La réduction de cette année est presque entièrement due à l’amende record de 1,2 milliard EUR infligée à Meta en 2023, ce qui a faussé les chiffres de 2023. Il n’y a pas eu d’amende record en 2024.
Les grandes entreprises technologiques et les géants des médias sociaux continuent d’être les principales cibles des amendes record, la quasi-totalité des 10 amendes les plus élevées depuis 2018 ayant été infligées à ce secteur. Rien que cette année, la Commission irlandaise de protection des données a infligé des amendes de 310 millions EUR à LinkedIn et de 251 millions EUR à Meta. En août 2024, l’autorité néerlandaise de protection des données a infligé une amende de 290 millions EUR à une application de covoiturage bien connue pour des transferts de données personnelles vers un pays tiers.
La Grande-Bretagne en retrait
En 2024, les mesures d’application se sont considérablement étendues à d’autres secteurs, notamment les services financiers et l’énergie. Par exemple, l’autorité espagnole de protection des données a infligé deux amendes totalisant 6,2 millions EUR à une grande banque pour des mesures de sécurité inadéquates, et l’autorité italienne de protection des données a infligé une amende de 5 millions EUR à un fournisseur de services publics pour avoir utilisé des données clients obsolètes.
Le Royaume-Uni a fait exception en 2024, infligeant très peu d’amendes. En novembre 2024, le commissaire à l’information britannique John Edwards a déclaré dans la presse britannique qu’il n’était pas d’accord avec l’idée que les amendes soient susceptibles d’avoir le plus grand impact et qu’elles enliseraient son bureau dans des années de litiges. Une approche qui a peu de chances de s’imposer dans le reste de l’Europe.
L’aube de la responsabilité personnelle
Peut-être plus important encore, l’accent mis sur la gouvernance et la surveillance a conduit à un certain nombre de décisions d’application de la loi citant des manquements dans ces domaines et dénonçant spécifiquement les manquements des organes de direction. Plus particulièrement, la Commission néerlandaise de protection des données a annoncé qu’elle enquêtait pour savoir si elle pouvait tenir les administrateurs de Clearview AI personnellement responsables de nombreuses violations du GDPR, après une amende de 30,5 millions EUR contre la société.
Cette nouvelle enquête sur la possibilité de tenir la direction de Clearview AI personnellement responsable des manquements continus de la société signale un changement d’orientation potentiellement important de la part des régulateurs qui reconnaissent le pouvoir de la responsabilité personnelle pour concentrer les esprits et favoriser une meilleure conformité.
Notifications de violations de données
Le nombre moyen de notifications de violation par jour a légèrement augmenté, passant de 335 l’année dernière à 363, une « stabilisation » conforme aux années précédentes, qui indique probablement que les organisations deviennent plus prudentes quant au signalement des violations de données compte tenu du risque d’enquêtes, d’application de la loi, d’amendes et de demandes d’indemnisation qui peuvent suivre la notification.
Un thème récurrent des enquêtes annuelles précédentes de DLA Piper est qu’il y a eu peu de changement en haut des tableaux concernant le nombre total de notifications de violation de données effectuées depuis l’entrée en vigueur du GDPR le 25 mai 2018 et au cours de l’année complète la plus récente, du 28 janvier 2024 au 27 janvier 2025. Les Pays-Bas, l’Allemagne et la Pologne restent les trois premiers pays pour le plus grand nombre de violations de données notifiées, avec respectivement 33 471, 27 829 et 14 286 violations notifiées.