Comme on le sait, le RGPD a fêté le 25 mai son 1er anniversaire. À cette occasion, le groupement européen d’avocats en droit du travail Ius Laboris a rassemblé des données provenant de 25 des 28 pays de l’Union européenne sur la manière dont le règlement a été appliqué au cours de cette année. Rappelons que les amendes pour non-respect du RGPD pouvaient atteindre 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial.
Quelques pays n’ont imposé aucune pénalité rapporte NiemanLab, le laboratoire de journalisme de l’université d’Harvard, qui a étudié le document : la Belgique, la Croatie, le Royaume-Uni, la République tchèque, le Danemark, la Finlande, l’Irlande, l’Italie, la Slovaquie, la Slovénie et la Suède. Il s’agit quelquefois d’un problème de retard, certains pays ayant été plus lents à intégrer le règlement dans leur propre législation (ou ne l’ayant pas encore fait comme la Slovénie), d’autres ayant adopté une approche plus légère en matière d’application, d’autres enfin menant toujours des investigations.
Les pays qui ont imposé des amendes au titre du RPGD l’ont généralement fait à une échelle très limitée. L’Autriche n’en a ainsi infligé que trois, toutes liées à la vidéosurveillance illégale. On en dénombre quatre à Chypre et au Portugal, deux en Pologne et une aux Pays-Bas. Cette dernière est toutefois importante. Uber doit en effet verser 600.000 euros pour ne pas avoir signalé de violation de la sécurité. Pour la même raison, La Lituanie a infligé une amende de 61.500 euros à la banque en ligne MisterTango
Le Grèce a de son côté condamné des opérateurs télécoms à payer 150.000 euros pour avoir « passé des appels non sollicités » et des sociétés pétrolières à verser 30.000 euros pour notamment « traitement illégal et non-respect des mesures techniques et organisationnelles requises ». Le Portugal a quant à lui infligé une amende de 400.000 euros à un hôpital pour avoir permis au personnel d’avoir « un accès indiscriminé aux données des patients ».
C’est toutefois en Allemagne et en France que l’on a été le plus sévère. Nos voisins ont infligé 75 amendes en vertu du RGPD pour un total de 449.000 euros. Le montant le plus élevé était de 80.000 euros.
Paris s’est montré plus sévère encore. La CNIL a ainsi infligé des amendes importantes pour « manque de mesures techniques sécurisant les données des clients » : 250.000 euros à Bouygues Telecom, 400.000 euros à Uber, 50.000 euros à Dailymotion et 250.000 euros à Optical Center. Son amende la plus conséquente, soit 5 millions d’euros, a été adressée à Google pour un ensemble de problèmes liés à la confidentialité des données autour de la publicité ciblée. Ce montant représente à lui seul près de 90% de toutes les amendes infligées dans l’Union européenne au cours de la première année du GDPR, soit environ 56 millions d’euros.
Quelques pays ont en revanche imposé des amendes plutôt symboliques. C’est le cas de la Bulgarie ou de la Lettonie qui a infligé une pénalité de 2.000 euros, une somme inférieure à ce qui était en vigueur avant l’introduction du RGPD.
Si, à l’échelle de l’Union européenne, le montant des amendes est relativement modeste, il n’en va pas de même pour le nombre d’incidents déclarés qui a explosé. Selon Decideo, plus de 95.000 plaintes de citoyens ont été déposées depuis mai 2018, près de 65.000 d’entre elles concernant des failles de données. Les Pays-Bas, l’Allemagne et le Royaume-Uni arrivent en tête du classement avec respectivement 15.400, 12.600 et 10.600 atteintes à la protection des données reçues par les autorités.