/image%2F1484077%2F20191012%2Fob_c4c4f1_01.jpg)
Il y a cinq ans, en mai 2018, le fameux RGPD entrait en vigueur dans toute l’Union Européenne. La semaine passée, une amende record de 1,2 milliards d’euros a été infligée à Meta pour avoir enfreint les règles en matière de protection des données. En définitive, au bout de cinq années, ce RGPD porte-t-il ces fruits.
/image%2F1484077%2F20230528%2Fob_b12b44_02.jpg)
Le RGPD – Règlement Général sur la Protection des Données – fête donc son 5e anniversaire. Entré en vigueur le 25 mai 2018, il s’offre une belle visibilité médiatique pour son premier lustre avec cette amende record de 1,2 milliards infligée à Meta le 22 mai dernier. Trop gros pour être un hasard. Le Régulateur européen, par le biais de sa branche irlandaise, voulait vraiment marquer le coup de ce 5e anniversaire et quoi de mieux en termes de visibilité que de coller une amende record à l’un de plus gros acteurs mondiaux du digital ? Attention, je ne dis pas que Meta ne devait pas être sanctionné, je dis juste que le timing de cette amende-record est trop calculé que pour être un hasard !
L’infraction commise par Meta est simplement d’avoir transférer des données personnelles de ses réseaux Facebook et Instagram vers les Etats-Unis. Mais l’importance de l’amende porte surtout sur la multi récidive de l’infraction dans le chef de Meta. Comme pour tout récidiviste, l’amende est salée… En plus des 1,2 milliards d’euros d’amende, Meta est aussi condamnée à suspendre, endéans les 5 mois, tous ses transferts de données vers les Etats-Unis et à se mettre en conformité totale avec le RGPD d’ici la fin 2023…
Autant dire que la prochaine infraction risque d’être encore plus élevée si Meta continue à jouer avec les données de ses utilisateurs. Evidemment, Meta va faire appel de cette décision estimant que l’amende est totalement injustifiée et va demander, lors de son appel, la suspension pure et simple de la condamnation, de l’amende et des contraintes liées au transfert de données et à la mise en conformité. Meta va même plus loin en affirmant que, en 2023, des milliers d'entreprises reposent sur le transfert des données d’utilisateurs entre l'Union Européenne et les États-Unis et qu’il existe un conflit de droit fondamental entre les règles américaines sur l'accès aux données et les droits européens en matière de confidentialité…
Un accord pour les transfert de données de l'UE vers les USA ?
Meta réclame et espère même que les Etats-Unis et l'Union européenne adoptent, durant cet été, un nouveau cadre légal pour le transfert des données personnelles… juste histoire de contourner le RGPD de manière légale. Et il n'est pas insensé de penser que Meta arrivera à ses fins... Pour rappel, un accord de principe a été conclut en octobre 2022, sous la houlette de Joe Biden, entre Les Etats-Unis et l’Union Européenne. Le cadre légal européen n’interdit pas formellement le transfert de données, il le contrôle, le surveille et exige différentes protections des données… On ne va pas les rappeler mais en substance, pour faire très simple, il faut un accord des personnes concernées pour disposer et transférer ses données au sein de l’UE. Pour les pays hors Union Européenne, dont les Etats-Unis, la législation est renforcée. Si la sécurité des données ne peut pas être garanties dans ces pays hors UE, alors le transfert est prohibé. Dans le dernier trimestre de 2022, les Etats-Unis ont effectivement renforcé la protection des données sur leur territoire et sur base de ce renforcement, un accord de principe pour le transfert de l’Union Européenne vers les Etats-Unis a été conclu à condition que l’efficacité de ce renforcement de la protection des données soit avéré.
Donc, clairement, il n’est pas impossible que Meta obtiennent effectivement un vrai cadre légal pour le transfert des données vers les Etats-Unis dans les mêmes conditions que pour les transferts au sein de l’Union Européenne.
3,5 milliards d'euros d'amendes en 5 ans !
Depuis le 28 mai 2018, l'Union Européenne a infligé un montant global de 3,5milliards d’euros d'amendes pour infractions au RGPD. La première année – en fait demi-année puisque le RGPD est entrée en vigueur fin mai 2018 – seuls 458.000 euros d’amende ont été infligés. Le record était pour l’année 2021 avec un montant de 1,1 milliard d’amendes… mais rien que l’amende infligée le 22 mai dernier à Meta est supérieure à ce record de 2021 ! Si elle est confirmée en appel, cela fera de 2023 une nouvelle année record en matière d’amendes pour infraction au RGPD. En tenant compte de l’amende de Meta, on comptabilise déjà un peu plus de deux milliards d’euros… et nous ne sommes pas encore à la moitié de l’année !
Mais ce sont surtout les mastodontes du digital qui sont concernés ! Ils sont plus dans le viseur du régulateur car ils ont plus de visibilité et plus de poids. Dans le ‘’top 10’’ des plus grosses amendes pour infraction au RGPD, on trouve :
- 7 fois Meta pour la somme globale astronomique de 2,5 milliards d’euros
- 1 fois Amazon pour 746 millions d’euros.
- 2 fois Google pour le montant global de 150 millions d’euros
Meta, à lui seul, représente 70% du total des amendes depuis la création du RGPD.
Clairement, les fameux GAFAM sont le cœur de cible du Régulateur européen parce cela sert d’exemples et que les amendes se chiffrent en centaines de millions voire, désormais, en milliard d’euros. C’est évidemment plus porteur de sanctionner Facebook, Instagram, Google ou Amazon plutôt qu’une entreprise de menuiserie de Morzy-les-Coyons-Sur-Semois !
Mais attention, cela ne signifie pas qu’il n’y a aucun contrôle et aucune sanction pour les petits acteurs du digital et les TPE locales. Depuis la création du RGPD ce sont 3749 plaintes qui ont été déposées contre des entreprises ou des particuliers belges dont 535 qui ont débouché sur des sanctions financières qui représentent un peu plus de deux millions d’euros au total. Cela donne une moyenne de ± 3700 euros par infraction sanctionnée. Le ‘’record’’ belge est détenu par Google Belgique qui a écopé de 600.000 euros pour non-respect du droit à l’effacement des données. On peut aussi, pour sortir des mastodontes du net, évoquer le groupe de presse Roularta qui a écopé, pour sa part, de 50.000 euros, en 2022, pour des infractions via ses sites internet du Vif et de Knack…
84% des plaintes belges sont en souffrance... même si une amende tombe tous les trois jours en Belgique !
Maintenant, il convient de préciser que sur les 3749 plaintes belges, il y a eu 592 inspections qui ont donc débouché sur 535 sanctions. Globalement, le taux de sanction par rapport aux contrôles est quasiment de 90%... C’est beaucoup. Où le bât blesse clairement, c’est que le nombre de contrôles part rapport aux plaintes n’est effectivement que de 15,8%. Grosso modo, 84% des plaintes n’ont pas de suivi… par manque de temps et d’effectifs. Selon un article publié dans L’Echo, le 25 mai dernier, jour anniversaire du RGPD, l’autorité belge de contrôle croule sous les plaintes… tellement qu’elle manque de moyens pour suivre.
Il faut aussi noter que beaucoup de petites entreprises sont toujours convaincues de ne pas être concernées, que le RGPD c’est pour les gros acteurs du web. Un sentiment qui est renforcé par la visibilité médiatique donnée aux énormes amendes que reçoivent Meta, Google ou Amazon… mais les médias ne parlent pas des autres amendes, plus modestes, infligées aux petites entreprises. Il y en a, on l’a dit : 535 amendes en 5 ans de RGPD, cela fait 107 chaque année… soit une tous les trois jours à peu près dans notre pays et l’immense majorité de ces amendes sont pour des petites structures voire des particuliers.
Petite question au passage : votre médecin ou votre dentiste vous ont-ils fait signer un document de protection de données ? Non, probablement pas… pourtant ils traitent vos données de santé, celles qui sont considérées parmi les plus sensibles. Et pourtant quasiment aucun médecins ne fait signer de document relatif à la protection des données…
Nos données sont-elles mieux protégées depuis 2018 ?
Entre les fuites de TikTok que nous avons aussi évoquées sur ce blog il y a quelques semaines, les amendes infligées à Facebook et Instagram pour transferts de données vers les Etats-Unis, les nombreux mails non-sollicités que l’on reçoit… je ne pense pas que nos données soient réellement mieux protégées qu’il y a 5 ans. Ceci dit, nous sommes à l’ère du digital, cela fait partie du jeu, on ne peut pas vouloir le beurre, l’argent du beurre et le sourire de la crémière.
Si l’on veut acheter sur AliExpress ou sur Amazon, si l’on veut vendre sur Vinted, si l’on veut swiper surTikTok, si l’on veut mettre ses vacances sur Instagram, il faut aussi considérer le risque que nos données soient transférées vers d’autres pays et utilisées à des fins commerciales… On peut aussi, si on ne veut pas que nos données soient utilisées, choisir de sortir complètement de tout univers digital mais, en 2023, combien d’entre-nous sont prêts à le faire ?
Ce RGPD, l’Union Européenne, nous l’a imposé finalement en disant ‘’c’est pour votre bien’’… Mais je ne pense pas vraiment que les citoyens européens étaient spécialement demandeurs ni qu’ils ont vu une réelle différence de la confidentialité de leurs données depuis mai 2018. Le RGPD c’est davantage un concept politique qui risque de déboucher sur une guerre entre les mastodontes américains et chinois du web et l’Union Européenne qu’une avancée intéressante pour les citoyens.
/image%2F1484077%2F20241114%2Fob_b21336_01.jpg)
/image%2F1484077%2F20241114%2Fob_73cdf9_01.jpg)
/image%2F1484077%2F20240709%2Fob_d9a772_01.jpg)
/image%2F1484077%2F20240619%2Fob_9d7945_01.jpg)
/image%2F1484077%2F20250227%2Fob_7e47c4_01.jpg)
/image%2F1484077%2F20250207%2Fob_019c17_02.jpg)
/image%2F1484077%2F20250207%2Fob_653b0e_01.jpg)
/image%2F1484077%2F20250207%2Fob_163653_01.jpg)