2019, l’année des premières amendes RGPD à sept chiffres

Le Règlement Général sur la Protection des Données (RGPD) de la Commission et du Parlement Européen est entré en vigueur le 25 mai 2018. Depuis cette date, ce règlement a entièrement remodelé le paysage international de la protection de la vie privée, car, en fonction du type d’infraction, les entités peuvent être sujettes à des amendes administratives d’un montant de 20 millions d’euros, ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.[1]

A peine 20 mois après son entrée en vigueur, les Autorités de Contrôle européennes ont imposé 179 amendes pour un total de 143.250.090 euros.[2] Une volonté des autorités d’appliquer le Règlement s’est renforcée d’année en année depuis son entrée en vigueur. Alors qu’en 2018, 19 amendes avaient été infligées, leur nombre est passé à 136 en 2019.

De surcroît, il est possible d’observer une tendance des autorités de contrôle à imposer des montants de plus en plus élevés. Neuf des dix amendes les plus importantes ont été imposées sur la période allant d’août 2019 à janvier 2020.[3]  

Le nombre d’amendes administratives imposées chaque mois a également augmenté. Jusqu’en septembre 2019, on évaluait la moyenne du nombre d’amendes à cinq par mois. Mais depuis lors, ce nombre a largement progressé : les mois d’octobre, novembre et décembre 2019 ont marqué un pic d’activité des autorités de contrôle qui ont imposé respectivement, 28, 21 et 23 amendes.

Pays où le montant total des amendes est le plus élevé

La France est le pays qui a infligé les amendes les plus élevées à ce jour avec un total de 51.100.000 euros (5 amendes), suivie de l'Italie avec 39.420.000 euros (7 amendes), puis de l'Allemagne avec 25.085.725 euros (22 amendes). Cependant, le Royaume-Uni est le pays ayant notifié les plus fortes intentions d’amendes (s'élevant à plus de 315.310.200 euros). 

Il est intéressant de noter que même si l'Espagne est le pays qui a imposé le plus grand nombre d'amendes (65 amendes), le montant total de celles-ci s'élève à 2.267.270 euros. A titre de comparaison, d'autres autorités de contrôle, comme celle des Pays-Bas, ont infligé un montant de 1.410.000 euros d'amendes, pour un total de 3 amendes.

L'Espagne affiche un nombre d’amendes supérieur à la moyenne, d'une valeur pécuniaire relativement faible (le montant moyen d’une amende en Espagne étant de 34.881 euros). En outre, plus de de 70 % des amendes infligées par l’autorité espagnole concernent le non-respect des principes généraux relatifs au traitement des données à caractère personnel, conformément à l'article 5 du RGPD et l’insuffisance de base légale au traitement des données à caractère personnel conformément à l'article 6 du RGPD, qui constituent tous deux le cœur du Règlement. 

La Roumanie est le deuxième pays de l'Union à infliger le plus grand nombre d'amendes (21), mais comme l'Espagne, le montant total de ces dernières reste faible (un total de 484.500 euros). Le style de mise en application du RGPD par l'Espagne et par la Roumanie diffèrent grandement de celui du Royaume-Uni, de la France et de l'Italie, où les autorités de contrôle ont eu tendance à directement infliger des amendes de plusieurs millions d'euros aux entités jugées non conformes. En prenant en compte les PIB par capita de la Roumanie et du Luxembourg par exemple, l’amende la plus élevée en Roumanie (150.000 euros) équivaudrait à une amende de 1.360.577 euros au Luxembourg. De manière similaire, l’amende au montant le plus élevé en Espagne (250.000 euros) représenterait un montant de 944.593 euros au Luxembourg. Avec ces comparatifs en tête, les différents montants pouvant paraître faibles ne le sont plus nécessairement.

En revanche, l'Allemagne a infligé 22 amendes pour un montant total de 25.085.725 euros. L'Allemagne est l'un des deux seuls pays de l'UE à avoir publié des lignes directrices sur le calcul des amendes administratives en vertu de l'article 83 du RGPD.[4] La méthodologie en cinq étapes issues de ces lignes directrices différencie en catégories les entreprises sur la base des critères suivants : leur chiffre d'affaires annuel, le calcul du chiffre d'affaires annuel et journalier moyen, la gravité de l'infraction et d'autres circonstances non prises en compte précédemment. Et bien que ces lignes directrices s'appliquent uniquement aux entreprises et aux situations n'impliquant aucun traitement transfrontalier conformément à l'article 4, paragraphe 23, du RGPD, elles apportent une certaine sécurité en matière de risques pour les responsables de traitement et aux sous-traitants en Allemagne tout en donnant un aperçu de l'application du RGPD à différentes situations.

Le défi 2020

Les sept principes du traitement des données à caractère personnel énoncés à l'article 5 du RGPD constituent le fondement de toutes les dispositions ultérieures du Règlement. Le premier de ces principes exige, entre autres, que les données à caractère personnel soient traitées de manière licite. En d'autres termes, le traitement des données à caractère personnel doit être fondé sur l'une des six bases légales énoncées à l'article 6, paragraphe 1, du RGPD (le consentement, la nécessité du traitement à l'exécution d'un contrat, la nécessité à l'exécution d'une mission d’intérêt public, le respect d'une obligation légale, si nécessaire pour protéger les intérêts vitaux d’une personne concernée, ou aux fins des intérêts légitimes du responsable du traitement ou d'un tiers).

En règle générale, lorsque les autorités de contrôle imposent des amendes en raison de l'absence de base légale à un traitement, il est fait référence à une violation des articles 5 et 6 du RGPD, car les deux dispositions sont inextricablement liées. C'est pourquoi le graphique ci-dessous les combine, correspondant au nombre d’amendes le plus élevé imposé par les États membres de l'UE.[5]

Le Garante (l’autorité italienne) a publié le 15 janvier 2020 sa décision d'infliger une amende de 27.800.000 euros à un opérateur télécom. De 2017 à 2019, cette entreprise avait lancé une campagne de marketing direct impliquant les données personnelles de clients potentiels (prospects) qui n'avaient jamais exprimé leur consentement avant que le traitement ne soit effectué. En outre, certaines personnes concernées contactées illicitement avaient été inscrites au registre public national des oppositions (Registro pubblico delle opposizioni), exerçant ainsi leur droit d'opposition à recevoir des messages de marketing non-sollicités. Le Garante a décidé d'imposer une amende pour plusieurs motifs, et notamment la violation des articles 5 (notamment, la licéité, la transparence, la limitation du stockage, et la sécurité) et 6 (en particulier, l'absence de consentement valable pour le télémarketing) du RGPD. En outre, cette société n'a pas respecté le droit d'effacement (prévu à l'article 17 du Règlement), ni le droit d’opposition (article 21 du RGPD) et n'a pas pris les mesures appropriées à leur sécurité (article 32 du RGPD).

Même si le fondement principal des sanctions prononcées par les autorités de contrôle est la non-conformité aux principes généraux de la protection des données et l’absence de base légale appropriée, il ne faut pas négliger l’absence de mesure de sécurité appropriée. En Allemagne, le Commissaire Fédéral à la Protection des Données et à la Liberté d'information (BfDI) a infligé à une société de télécommunications une amende de 9.550.000 euros, en raison de sa procédure d'authentification ne comportant pas de mesures techniques et organisationnelles appropriées pour empêcher des personnes non-autorisées de recevoir des informations sur les clients de leur service clientèle téléphonique. La BfDI a pris en considération le degré de coopération fourni par cette société de télécom pour remédier à l'infraction et pour atténuer ses effets négatifs éventuels et a décidé d'imposer une amende du montant le plus bas possible.

L’autorité bulgare a, quant à elle, imposé une amende de 2.600.000 euros à l'Agence nationale des revenus bulgare pour n'avoir pas mis en œuvre les mesures techniques et organisationnelles appropriées, ayant entraîné une violation des données à caractère personnel impactant plus de 6 millions de personnes.

Comme indiqué précédemment, en 2019, l'autorité britannique (ICO) a annoncé son intention d'infliger une amende à deux sociétés pour leur manque de mesures techniques et organisationnelles appropriées pour assurer la sécurité de leurs systèmes informatiques.

Remarques finales

Les principes du traitement des données constituent l'essence même du RGPD et, par conséquent, toute violation du RGPD entraînera une violation de ces principes. Le respect du principe de licéité (article 5, paragraphe 1, point a), du RGPD) est la condition préalable au traitement de toute donnée à caractère personnel. C'est donc l'un des premiers critères vérifiés par les autorités de contrôle lors d'audits ou d'enquêtes, qu’elles soient motivées ou non.

Il est encore trop tôt pour prédire quels montants peuvent être attendus et les types de sanctions qui seront imposés à l'avenir. Cependant, il est possible de discerner cinq tendances différentes :

1) La volonté des autorités de contrôle d'appliquer le règlement a augmenté d'année en année depuis son entrée en vigueur,

2) Les autorités imposent des amendes de plus en plus élevées,

3) Le nombre et le montant des amendes administratives par mois ont également augmenté,

4) Le régime des amendes imposées par les autorités de contrôle varie considérablement d'un état membre à l'autre, et il semblerait que ces dernières s’orienteraient vers des sanctions relatives aux respects des délais de conservation des données personnelles,

5) Le respect des principes de traitement des données à caractère personnel et la mise en œuvre de mesures de sécurité appropriées seront les principaux défis à relever en 2020.

Comme l'explique Michael Hofmann, Partner Consulting, en charge des problématiques RGPD chez EY Luxembourg, "En considérant le montant potentiel des amendes de 4 % du chiffre d'affaires annuel mondial d'une entité, la somme totale actuelle des amendes infligées à ce jour reste relativement faible. Toutefois, les autorités de contrôle doivent mener des enquêtes de plus en plus approfondies, impliquer d'autres autorités de contrôle impactées, prendre en compte le dialogue avec les représentants de l'entreprise faisant l'objet de l'enquête et déterminer quelle amende administrative est la plus efficace, proportionnée et dissuasive par rapport à la gravité de l'infraction. Leurs décisions doivent également être recevables devant les tribunaux compétents, ce qui prend du temps. Malgré cela, le RGPD a permis une meilleure gestion et compréhension des données personnelles et leur traitement pour les professionnels, tout en spécialisant, et de plus en plus, les métiers de la protection des données et vie privée".

[1] Le champ d’application territorial de l’Article 3 RGPD comprend les entités qui offrent des biens et services aux personnes concernées situées sur le territoire de l’UE, qu’un paiement soit exigé ou non, ou lorsqu’une telle entité procède au suivi de leur comportement au sein de l’Union. Conformément aux articles 83(4) et 83(5), les amendes sont calculées sur base du chiffre d’affaires annuel mondial total

[2] Toutes les amendes administratives ne sont pas rendues publiques ; de ce fait, ces nombres ne peuvent pas refléter entièrement l’ampleur actuelle des sanctions prises sur base du RGPD. Aussi, l’ autorité britannique a notifié son intention de sanctionner deux entreprises pour un montant total de £282.590.396 (approximativement €315.310.200).

[3] Les montants étant compris entre 900.000 et 27,8 millions d’euros.

[4] Les Pays-Bas font également partie des états membres ayant un modèle de contravention défini.

[5] De manière générale, une sanction est constituée de plusieurs violations d'articles du RGPD. Ainsi dans cette analyse, la violation principale sera retenue.