/image%2F1484077%2F20191012%2Fob_c4c4f1_01.jpg)
/image%2F1484077%2F20230619%2Fob_3d5a2a_02.jpg)
Il y a cinq ans, le 25 mai 2018, le fameux RGPD entrait en vigueur dans toute l’Union Européenne. La semaine passée, une amende record de 1,2 milliards d’euros a été infligée à Meta pour avoir enfreint les règles en matière de protection des données. En définitive, au bout de cinq années, ce RGPD porte-t-il ces fruits ?
Le RGPD – Règlement Général sur la Protection des Données – fête donc son 5e anniversaire. Entré en vigueur le 25 mai 2018, il s’offre une belle visibilité médiatique pour son premier lustre avec cette amende record de 1,2 milliards infligée à Meta le 22 mai dernier. Trop gros pour être un hasard. Le Régulateur européen, par le biais de sa branche irlandaise, voulait vraiment marquer le coup de ce 5e anniversaire et quoi de mieux en termes de visibilité que de coller une amende record à l’un de plus gros acteurs mondiaux du digital ? Attention, je ne dis pas que Meta ne devait pas être sanctionné, je dis juste que le timing de cette amende-record est trop calculé que pour être un hasard !
L’infraction commise par Meta est simplement d’avoir transférer des données personnelles de ses réseaux Facebook et Instagram vers les Etats-Unis. Mais l’importance de l’amende porte surtout sur la multirécidive de l’infraction dans le chef de Meta. Comme pour tout récidiviste, l’amende est salée… En plus des 1,2 milliards d’euros d’amende, Meta est aussi condamnée à suspendre, endéans les 5 mois, tous ses transferts de données vers les Etats-Unis et à se mettre en conformité totale avec le RGPD d’ici la fin 2023… Autant dire que la prochaine infraction risque d’être encore plus élevée si Meta continue à jouer avec les données de ses utilisateurs.
Meta réclame un nouveau cadre légal pour le transfert des données personnelles dans l'UE !
Meta va faire appel de cette décision estimant que l’amende est totalement injustifiée et va demander, lors de son appel, la suspension pure et simple de la condamnation, de l’amende et des contraintes liées au transfert de données et à la mise en conformité. Meta va même plus loin en affirmant que, en 2023, des milliers d'entreprises reposent sur le transfert des données d’utilisateurs entre l'Union Européenne et les États-Unis et qu’il existe un conflit de droit fondamental entre les règles américaines sur l'accès aux données et les droits européens en matière de confidentialité…
Meta réclame et espère même que les Etats-Unis et l'Union européenne adoptent, durant cet été, un nouveau cadre légal pour le transfert des données personnelles… juste histoire de contourner le RGPD de manière légale. Je n’ai évidemment pas de boule de cristal mais une chose est sûre, c’est qu’un accord de principe a été conclut en octobre 2022, sous la houlette de Joe Biden, entre Les Etats-Unis et l’Union Européenne. Le cadre légal européen n’interdit pas formellement le transfert de données, il le contrôle, le surveille et exige différentes protections des données… On ne va pas les rappeler mais en substance, pour faire simple, il faut un accord des personnes concernées pour disposer et transférer ses données au sein de l’UE.
Pour les pays hors Union Européenne, dont les Etats-Unis, la législation est renforcée. Si la sécurité des données ne peut pas être garanties dans ces pays hors UE, alors le transfert est prohibé. Dans le dernier trimestre de 2022, les Etats-Unis ont effectivement renforcé la protection des données sur leur territoire et sur base de ce renforcement, un accord de principe pour le transfert de l’Union Européenne vers les Etats-Unis a été conclu à condition que l’efficacité de ce renforcement de la protection des données soit avéré.
Donc, clairement, il n’est pas impossible que Meta obtiennent effectivement un vrai cadre légal pour le transfert des données vers les Etats-Unis dans les mêmes conditions que pour les transferts au sein de l’Union Européenne.
3,5milliards d’euros d'amendes depuis mai 2018
/image%2F1484077%2F20230619%2Fob_f02e8a_03.jpg)
La première année – en fait demi-année puisque le RGPD est entrée en vigueur fin mai 2018 – seuls 458.000 euros d’amende ont été infligés. Le record était pour l’année 2021 avec un montant de 1,1 milliard d’amende… mais rien que l’amende infligée le 22 mai dernier à Meta est supérieure à ce record de 2021 ! Si elle est confirmée en appel, cela fera de 2023 une nouvelle année record en matière d’amendes pour infraction au RGPD. En tenant compte de l’amende de Meta, on comptabilise déjà un peu plus de deux milliards d’euros… et nous ne sommes pas encore à la moitié de l’année !
Les mastodontes sont plus dans le viseur du régulateur car ils ont plus de visibilité et plus de poids. Dans le ‘’top 10’’ des plus grosses amendes pour infraction au RGPD, on trouve :
- 7 fois Meta pour la somme globale astronomique de 2,5 milliards d’euros
- 1 fois Amazon pour 746 millions d’euros.
- 2 fois Google pour le montant global de 150 millions d’euros
Meta, à lui seul, représente 70% du total des amendes depuis la création du RGPD.
Clairement, les fameux GAFAM sont le cœur de cible du Régulateur européen parce cela sert d’exemples et que les amendes se chiffrent en centaines de millions voire, désormais, en milliard d’euros. C’est évidemment plus porteur de sanctionner Facebook, Instagram, Google ou Amazon plutôt qu’une entreprise de menuiserie de Morzy-les-Coyons-Sur-Semois !
Beaucoup de petites entreprises sont toujours convaincues de ne pas être concernées, que le RGPD c’est pour les gros acteurs du web. Un sentiment qui est renforcé par la visibilité médiatique donnée aux énormes amendes que reçoivent Meta, Google ou Amazon… mais les médias ne parlent pas des autres amendes, plus modestes, infligées aux petites entreprises.
Et en Belgique ?
Mais attention, cela ne signifie pas qu’il n’y a aucun contrôle et aucune sanction pour les petits acteurs du digital et les TPE locales. Depuis la création du RGPD ce sont 3749 plaintes qui ont été déposées contre des entreprises ou des particuliers belges dont 535 qui ont débouché sur des sanctions financières qui représentent un peu plus de deux millions d’euros au total... Ce qui donne une moyenne de ± 3700 euros par infraction sanctionnée. 535 amendes en 5 ans de RGPD, cela fait 107 chaque année… soit une tous les trois jours à peu près et l’immense majorité de ces amendes sont pour des petites structures voire des particuliers.
Le ‘’record’’ belge est détenu par Google Belgique qui a écopé de 600.000 euros pour non-respect du droit à l’effacement des données. On peut aussi, pour sortir des mastodontes du net, évoquer le groupe de presse Roularta qui a écopé, pour sa part, de 50.000 euros, en 2022, pour des infractions via ses sites internet du Vif et de Knack…
La plus petite amende infligée en Belgique était de 1000€ ; le montant peut aller jusqu’à 4% du chiffre d’affaire de l’entreprise en infraction avec un plafond maximal de 20 millions d’euros… en cas de récidive, ces montants peuvent exploser, Meta est désormais bien au courant !!!
Sur les 3749 plaintes, il y a eu 592 inspections qui ont donc débouché sur 535 sanctions. Globalement, le taux de sanction par rapport aux contrôles est quasiment de 90%... C’est beaucoup. Où le bât blesse clairement, c’est que le nombre de contrôles part rapport aux plaintes n’est effectivement que de 15,8%... Grosso modo, 84% des plaintes n’ont pas de suivi… par manque de temps et d’effectifs. Selon un article publié dans L’Echo, le 25 mai dernier, jour anniversaire du RGPD, l’autorité belge de contrôle croule sous les plaintes… tellement qu’elle manque de moyens pour suivre.
Nos données mieux protégées qu'il y a 5 ans ?
/image%2F1484077%2F20230619%2Fob_d9f516_03.jpg)
Si je me réfère aux nombreux mails publicitaires non-sollicités que je reçois, y compris après m’être désabonné de newsletters auxquelles je ne m’étais pas abonné, je serais tenté de répondre par la négative. Ceci dit, il y a certainement aussi un peu de ma faute puisque je choisi de ne pas déposer plainte contre ces entreprises qui m’envoient des mails non-sollicités et qui donc utilisent mes données sans mon consentement…
Pour répondre concrètement à la question ci-dessus, je dirais que, entre les fuites de TikTok que nous avons aussi évoquées il y a quelques semaines, les amendes infligées à Facebook et Instagram pour transferts de données vers les Etats-Unis, les nombreux mails non-sollicités que l’on reçoit… non, je ne pense pas que nos données soient réellement mieux protégées qu’il y a 5 ans.
Ceci dit, nous sommes à l’ère du digital, cela fait partie du jeu, on ne peut pas vouloir le beurre, l’argent du beurre et le sourire de la crémière. Si l’on veut acheter sur AliExpress ou sur Amazon, si l’on veut vendre sur Vinted, si l’on veut swiper surTikTok, si l’on veut mettre ses vacances sur Instagram, il faut aussi considérer le risque que nos données soient transférées vers d’autres pays et utilisées à des fins commerciales… On peut aussi, si on ne veut pas que nos données soient utilisées, choisir de sortir complètement de tout univers digital mais, en 2023, combien d’entre-nous sont prêts à le faire ?
/image%2F1484077%2F20240417%2Fob_3cf5fd_03.jpg)
/image%2F1484077%2F20240214%2Fob_4f747c_01.jpg)
/image%2F1484077%2F20240126%2Fob_67c60b_01.jpg)
/image%2F1484077%2F20240115%2Fob_8372da_01.jpg)
/image%2F1484077%2F20240417%2Fob_47eacf_04.jpg)
/image%2F1484077%2F20240417%2Fob_5c57d4_01.jpg)
/image%2F1484077%2F20240417%2Fob_6153d1_02.jpg)
/image%2F1484077%2F20240417%2Fob_3cf5fd_03.jpg)