Seulement 1,3 % des affaires portées devant les autorités aboutissent à des amendes
Si les autorités nationales pour la protection des données européennes ont infligé plus d’un milliard d’euros d’amende au titre de manquements au GDPR en 2024, certains les accusent d’être trop frileuses dans les amendes.
Une application stricte du GDPR… seulement sur le papier ! tel est l’avis de noyb, ONG européenne travaillant sur la protection des données. Lorsque le règlement général sur la protection des données est entré en vigueur en mai 2018, il promettait un changement vers une approche sérieuse de la protection des données.
Les consommateurs européens touchés par des violations de la vie privée ont reçu les outils nécessaires pour se plaindre auprès de leurs autorités nationales de protection des données – qui ont été dotées des pouvoirs nécessaires pour enquêter sur toutes sortes de violations et infliger des amendes administratives afin d’éviter des infractions similaires à l’avenir.
Malheureusement, les sept dernières années ont montré qu’il ne s’agissait là que de vœux pieux. C’est ce que confirme une nouvelle étude menée entre 2018 et 2023.
Amendes, pas de véritable exemple positif
En moyenne, seulement 1,3 % des affaires portées devant les autorités aboutissent effectivement à une amende. Cela correspond à la propre expérience pratique du noyd. La plupart des affaires traînent pendant plusieurs années avant d’être clôturées par un règlement ou d’être entièrement rejetées, confirme Max Schrems, président d’honneur, noyb.
« Les autorités européennes de protection des données disposent de tous les moyens nécessaires pour sanctionner de manière adéquate les violations du GDPR et infliger des amendes qui empêcheraient des violations similaires à l’avenir. Au lieu de cela, elles font souvent traîner les négociations pendant des années – pour décider trop souvent contre les intérêts du plaignant. »
Si certaines autorités de protection des données semblent imposer beaucoup plus d’amendes que d’autres, les chiffres sont tous de l’ordre d’un pourcentage à un chiffre, voire moins.
Irlande et Luxembourg en tête des statistiques
Ayant imposé des amendes dans 6,84 % de tous les cas (en comptant à la fois les plaintes et les enquêtes d’initiative) entre 2018 et 2023, l’APD slovaque est en tête des statistiques. Elle est suivie par la Bulgarie (4,19 %), Chypre (3,12 %), la Grèce (2,65 %) et la Croatie (2,54 %). À l’autre bout du spectre, l’autorité néerlandaise a infligé des amendes dans 0,03 % de tous les cas, suivie de près par la France (0,10 %), la Pologne (0,18 %), la Finlande (0,21 %), la Suède (0,25 %) et, bien sûr, l’Irlande (0,26 %). Les autres pays se situent entre ces deux extrêmes.
Les amendes imposées sont une plaisanterie, regrette noyb. Si l’on examine de plus près le montant des amendes imposées chaque année par les autorités nationales, le problème est encore plus clair. L’Irlande (475 902 000 EUR d’amende moyenne par an) et le Luxembourg (124 395 729 EUR d’amende moyenne par an) sont de loin en tête des statistiques pour la période 2018-2023.
Plus de moyens, vraiment ?
À première vue, cela peut sembler beaucoup d’argent. Mais ce n’est pas le cas. Presque toutes les grandes entreprises technologiques comme Apple, Google, Meta et Microsoft sont situées en Irlande, ce qui fait du CPD irlandais l’autorité principale pour certaines des affaires les plus importantes. Le Luxembourg, quant à lui, est responsable d’entreprises telles qu’Amazon.
Certaines autorités ne cessent de répéter qu’il leur suffirait de disposer de plus de budget et de ressources pour prendre des décisions plus opportunes – et à fort impact. Or, en moyenne, le budget des autorités a augmenté de 130 % entre 2020 et 2024. L’autorité néerlandaise, par exemple, a enregistré une augmentation de 62 % de son budget en quatre ans… sans que le nombre d’amendes infligées ait augmenté de manière significative.
