Juridique

Amendes RGPD : la Cnil sanctionne peu, mais tape fort

L’amende moyenne infligée par la Cnil pour infraction au RGPD s’élève à plus de 9 M€. Soit plus de quatre fois la moyenne européenne. (Photo : Cnil)

Depuis l'entrée en vigueur du RGPD, plus de 2200 amendes ont été enregistrées en Europe pour infraction au règlement. Dont seulement 41 en France.

PublicitéDepuis l'entrée en vigueur du RGPD en 2018, la Cnil française a émis 41 amendes à l'encontre de sociétés ayant violé le règlement général sur la protection des données. C'est 20 fois moins que son homologue espagnole sur la même période ! Si l'autorité ibérique est le recordman en Europe, les instances d'autres pays majeurs de l'Union affichent également une propension à sanctionner davantage que la Cnil, avec, notamment, 343 amendes prononcées en Italie ou encore 74 en Allemagne.

Ce constat, issu de la 5ème édition du rapport 'Enforcement Tracker Report' du cabinet d'avocats CMS, est contrebalancé par la lourdeur des sanctions prononcées par la Commission nationale de l'informatique et des libertés. L'amende moyenne dans l'Hexagone s'élevant à plus de 9 M€, bien davantage que les 5,4 M€ relevés en Grande-Bretagne. Mais surtout plus de dix fois la sanction moyenne en Allemagne, plus de vingt fois celle en Italie et près de 100 fois davantage qu'en Espagne. Autrement dit, la Cnil sanctionne peu de contrevenants au RGPD, mais choisit de frapper fort. Tandis que son homologue espagnole multiplie les sanctions légères.

Bonnet d'âne pour Meta et ses réseaux Facebook et WhatsApp

Pour le cabinet CMS, ces écarts peuvent résulter de la stratégie de chaque autorité, certaines choisissant de mettre l'emphase sur une phase de consultation avant de sévir, là où d'autres sanctionnent directement les contrevenants. Mais les différences pourraient aussi résulter des différences dans la méthode de publication des amendes (certains pays limitant les publications aux amendes les plus importantes) ou encore du nombre de personnes impliquées dans l'évaluation des cas suspects.

Depuis l'entrée en vigueur du règlement européen, 2 225 amendes ont été enregistrées, pour un total de 4,5 Md€. Soit un montant moyen de 2 M€. Ce montant est toutefois largement tiré par les amendes records, infligées majoritairement aux géants du numérique américains. Dans le top 10 des plus fortes amendes pour infractions au RGPD, neuf concernent Meta, Amazon et Google (la dernière ayant été infligée au Chinois TikTok). Notons que Meta (et ses réseaux WhatsApp et Facebook) apparaît comme le cancre de la protection de données au regard du RGPD, avec six des dix plus lourdes amendes prononcées à ce jour, dont la sanction record de 1,2 Md€ infligée en mai 2023 par l'autorité irlandaise.

Le coup d'éclat de la Cnil fin 2021

Dans ce top 10 des amendes les plus lourdes, trois ont été prononcées par la Cnil. Mais toutes remontent à 2021. Elles ciblent Google, sa filiale irlandaise et Facebook, tous trois sanctionnés en décembre de 2021 pour des montants allant de 60 à 90 M€.

Publicité« En tête de liste des déclencheurs d'amendes RGPD se trouvent, une fois de plus, une base juridique insuffisante [pour justifier d'un traitement de données, NDLR] et le non-respect des principes généraux de traitement des données, ainsi que des mesures techniques et organisationnelles insuffisantes », précise Christian Runte, avocat associé du cabinet CMS en Allemagne. L'industrie et le commerce est le secteur s'attirant le plus d'amendes (438), devant les médias et télécoms (282). Mais c'est ce dernier qui doit s'acquitter des amendes les plus lourdes (près de 12 M€ en moyenne).

Dans son rapport d'activité, la Cnil indique avoir effectué 340 contrôles en 2023 et infligé 36 amendes (mais toutes ne sont pas directement associées au RGPD), pour un montant global de 89 M€. La plus lourde de ces amendes a frappé Criteo, sanctionné de 40 M€ en juin 2023. La Commission, présidée par Marie-Laure Denis, emploie près de 290 personnes, pour un budget annuel de 26,3 M€.