Alors que l’année 2024 marque une diminution notable des amendes liées au Règlement général sur la protection des données (RGPD), les entreprises doivent composer avec une surveillance nettement plus vigoureuse de la part des régulateurs. Cette baisse, qui s’établit à 1,2 milliard d’euros, représente une chute de 33 % par rapport à 2023. Cependant, cette réduction s’explique par l’absence d’une amende record comme celle imposée à Meta en 2023. Les autorités de régulation ont clairement intensifié leurs efforts pour garantir que les entreprises respectent scrupuleusement les règles du RGPD. Des experts comme Ross McKean de DLA Piper soulignent que l’intérêt des régulateurs ne faiblit pas, ceux-ci continuant de cibler principalement les entreprises technologiques et de médias sociaux, mais élargissant également leur champ d’action.
Sanctions ciblant les entreprises technologiques et médias sociaux
Certaines grandes entreprises technologiques ont déjà ressenti cette pression accrue. Par exemple, LinkedIn a été condamné à payer une amende de 310 millions d’euros par la Data Protection Commission (DPC) irlandaise pour des pratiques publicitaires jugées non conformes. Uber a été sanctionné de 290 millions d’euros par l’Autorité néerlandaise de protection des données pour avoir stocké des données sans garantir suffisamment leur sécurité. De même, Meta a été frappée d’une amende de 251 millions d’euros pour une violation de données qui remontait à 2018. Ces exemples illustrent la persistance et l’intensité de la surveillance des régulateurs, qui se concentrent désormais sur des pratiques très spécifiques afin de détecter des manquements pertinents aux règles du RGPD.
Loin de se limiter à ces quelques entreprises, les régulateurs scrutent désormais davantage de secteurs. Les services financiers et l’énergie sont aussi dans leur ligne de mire, montrant que la conformité aux standards du RGPD concerne un spectre de plus en plus large de l’économie. En Espagne, par exemple, CaixaBank a reçu deux amendes cumulant à 6,2 millions d’euros en raison de failles de sécurité. La diversité des secteurs touchés par ces sanctions montre que les régulateurs cherchent à établir une norme de respect des données personnelles universelle et cohérente, peu importe le domaine d’activité de l’entreprise.
Réponses des régulateurs et tendances émergentes
La Data Protection Commission (DPC) irlandaise s’est affirmée comme le régulateur le plus actif en Europe. Depuis 2018, elle a imposé des amendes totalisant 3,5 milliards d’euros. En termes de sanctions globales, celles-ci atteignent désormais 5,88 milliards d’euros depuis l’entrée en vigueur du RGPD. Cela montre l’impact significatif de cette régulation sur les entreprises, obligeant ces dernières à redoubler d’efforts pour se conformer aux exigences du RGPD. La visibilité croissante de la DPC et sa contribution aux amendes totales indiquerait une intention claire d’utiliser la régulation comme un levier pour forcer l’adhésion aux normes de protection des données.
Une nouvelle tendance notable en 2024 est l’accent mis sur la responsabilité personnelle des dirigeants. Les garde-fous traditionnels ne suffisant plus, les régulateurs explorent maintenant des mesures supplémentaires pour s’assurer que les dirigeants sont tenus responsables des violations. L’Autorité néerlandaise de protection des données mène par exemple une enquête visant les dirigeants de Clearview AI après une amende de 30,5 millions d’euros. Cette évolution vers une responsabilisation individuelle marque une intensification des efforts des régulateurs pour garantir la conformité aux normes de protection des données.
Conclusion
La Commission irlandaise de protection des données (DPC) s’est imposée comme le régulateur le plus actif en Europe. Depuis 2018, elle a infligé des amendes totalisant 3,5 milliards d’euros, contribuant ainsi aux sanctions globales qui s’élèvent à 5,88 milliards d’euros depuis l’entrée en vigueur du RGPD. Ce chiffre illustre l’impact majeur de cette régulation sur les entreprises, les contraignant à se conformer rigoureusement aux exigences du RGPD. La visibilité accrue de la DPC et son rôle dans le montant des amendes montre une volonté claire de faire respecter les normes de protection des données.
En 2024, une nouvelle tendance met davantage l’accent sur la responsabilité des dirigeants. Les mécanismes traditionnels étant jugés insuffisants, les régulateurs explorent des mesures supplémentaires pour garantir que les dirigeants soient responsables des violations. Par exemple, l’Autorité néerlandaise de protection des données mène une enquête visant les dirigeants de Clearview AI après une amende de 30,5 millions d’euros. Ce mouvement vers une responsabilité individuelle signale un renforcement des efforts des régulateurs pour garantir la conformité aux normes de protection des données.
