RGPD : le Luxembourg devient le champion européen en matière de sanctions

Le total des amendes relatives au RGPD — qui est entré en vigueur en mai 2018 — s’élève désormais à plus d’un milliard d’euros. [OneSideProFoto/Shutterstock]

Quels sont les pays européens qui sanctionnent le plus les violations de données personnelles ? Après l’amende record infligée à Amazon le mois dernier par le Luxembourg, EURACTIV fait le point.

La commission nationale pour la protection des données (CNPD) du Luxembourg a frappé fort le mois dernier en infligeant à Amazon une amende record de 746 millions d’euros pour de multiples violations du Règlement général sur la protection des données (RGPD) de l’UE.

Avant cela, la plus grosse sanction (50 millions d’euros) pour infraction au RGPD avait été imposée à Google par la France et sa Commission nationale de l’information et des libertés (CNIL) pour ne pas avoir informé ses utilisateurs du type de données que le géant de l’Internet possède.

Google écope d'une amende RGPD de 50 millions d'euros en France

En frappant Google, l’autorité de régulation des données française crée un précédent. Qui risque de faire trembler les dirigeants informatiques de toute l’Europe : les manquements aux obligations reprochés à Google en France sont communs à beaucoup d’autres acteurs.

En décembre néanmoins, la CNIL a infligé des amendes de 100 millions d’euros à Google et de 35 millions d’euros à Amazon pour leur politique en matière de cookies. Bien qu’il s’agisse d’un traitement de données, l’autorité française de protection des données a estimé qu’il relevait de la directive « ePrivacy » et s’est déclarée « matériellement compétente ». Ces deux sanctions majeures ne sont donc pas prises en compte dans notre comparaison car elles ne sont pas strictement liées au RGPD.

Le Luxembourg est ainsi devenu le plus grand donneur d’amendes RGPD en Europe, avec un montant total de 746 millions d’euros infligés, suivi par l’Italie (84 millions d’euros) et la France (57 millions d’euros), selon des données assemblées par Privacy Affairs et partagées avec EURACTIV.

Le total des amendes relatives au RGPD – qui est entré en vigueur en mai 2018 – s’élève désormais à plus d’un milliard d’euros.

Le gendarme des données luxembourgeois ne figure toutefois pas dans le peloton de tête pour ce qui est du nombre d’amendes, avec seulement 11 infligées au cours des trois dernières années.

L’Espagne, l’Italie et la Roumanie occupent le podium avec 255, 76 et 61 sanctions prononcées chacune.

Nombre de ces décisions sont fondées sur l’article 5 du RGPD, qui définit un cadre précis pour le traitement des données dans le bloc.

Mécanisme du « guichet unique »

Le RGPD s’applique à chaque État membre ainsi qu’aux pays de l’Espace économique européen (Islande, Lichtenstein et Norvège). Comme les données sont, dans la plupart des cas, traitées dans différents pays, la loi européenne a introduit le mécanisme dit de « guichet unique », qui garantit la coopération entre les autorités de protection des données nationales.

Plus important encore, le règlement prévoit que l’autorité compétente pour diriger les affaires transfrontalières dépend du lieu où l’organisation à l’origine du traitement des données a sa base juridique. Dans le cas d’Amazon, c’est l’autorité luxembourgeoise de protection de la vie privée qui mène l’enquête, car le siège européen d’Amazon se trouve au Grand-Duché.

En juin, cependant, la Cour de justice de l’UE a statué que les autorités nationales de protection des données avaient le pouvoir de lancer des procédures d’infraction au RGPD contre des entreprises enregistrées dans un autre État membre de l’Union européenne, dans des circonstances exceptionnelles d’urgence ou lorsque l’impact est limité aux personnes concernées dans leur juridiction nationale ou locale.

RGPD : les affaires transfrontalières ne se limitent pas à l’autorité « cheffe de file », selon la Cour de justice de l’UE

Dans des conditions exceptionnelles, les autorités chargées de la protection des données ont le pouvoir d’ouvrir une procédure judiciaire pour violation du RGPD, même lorsque l’organisation concernée est légalement basée dans un autre pays de l’UE.

La décision a été prise après que les eurodéputés ont demandé une procédure d’infraction contre l’Irlande pour ne pas être en mesure de faire face au flux de plaintes relatives à la vie privée contre les entreprises Big Tech qui relèvent de la compétence de la commission irlandaise à la protection des données (DPC).

« Nous avons constaté que certaines de ces ressources ont été mises à disposition et qu’il y a eu des améliorations, mais nous pensons qu’il est possible d’augmenter à nouveau les ressources de la DPC, étant donné que les entreprises qu’elle est censée réglementer disposent de fonds presque illimités pour se battre et contester les affaires », avait alors déclaré à EURACTIV l’eurodéputée de gauche irlandaise Clare Daly.

RGPD : les eurodéputés demandent une procédure d'infraction contre l'Irlande

Le Parlement européen a voté, jeudi 20 mai, en faveur d’une résolution demandant à la Commission européenne d’ouvrir une procédure d’infraction contre l’Irlande pour défaut d’application du Règlement général sur la protection des données (RGPD).

Les chiffres montrent que l’Irlande a prononcé un total de six amendes, pour une valeur de 790 000 euros.

L’argent et les ressources sont souvent pointés du doigt comme un moyen de soutenir et d’améliorer le système de « guichet unique » qui a mis en opposition les petits pays aux multinationales.

En Irlande par exemple, le budget de la DPC était presque mille fois inférieur à celui de Google en 2019, selon le rapport d’Access Now sur la mise en œuvre du RGPD.

Subscribe to our newsletters

Subscribe