En 2022, les autorités européennes de régulation des données ont infligé 1,64 milliard d'euros d'amendes RGPD

Etudes et Documents
Outils
TAILLE DU TEXTE

Selon la dernière enquête "GDPR and Data Breach survey" du cabinet DLA Piper, les autorités européennes de protection des données ont infligé 1,64 milliard d'euros d'amendes depuis le 28 janvier 2022, soit une hausse de 50% depuis l'année dernière.

DLA Piper a publié les résultats de son enquête annuelle sur le RGPD et les violations de données. L'enquête menée à l'échelle européenne** a révélé une nouvelle année record avec une augmentation de 50% de la valeur totale des amendes infligées à travers l'Europe.

Parmi les amendes les plus importantes, on peut citer celles infligées à Meta Platforms Ireland Ltd. (Meta), témoignant d’une volonté particulière du régulateur de réguler les réseaux sociaux, et leur dépendance à l'égard du traitement intensif des données à caractère personnel. Plusieurs des amendes les plus importantes infligées à Meta en 2022 par la DPC irlandaise ont concerné le profilage comportemental des utilisateurs de Facebook et d'Instagram et la question de savoir si la base légale de "l’exécution du contrat" peut être utilisée pour légitimer la collecte massive de données à caractère personnel. Alors que la DPC irlandaise avait initialement conclu que cela était possible, l'influent Conseil européen de la protection des données n'était pas du même avis. Les amendes qui en résultent soulèvent de sérieuses questions sur le "grand marché" conclu entre les consommateurs et les fournisseurs de services, et sur la manière dont les services en ligne "gratuits" seront financés à l'avenir. Compte tenu de l'enjeu, DLA Piper s'attend à ce que ces décisions fassent l'objet d'appels et que des années de litiges s'ensuivent.

« La série d'amendes infligées en 2022 par le commissaire irlandais à la protection des données et visant les modèles publicitaires alimentées par les données personnelles pose les prémices d’une ligne de plus en plus dure engagée par les autorités européennes contre les entreprises dont l’activité repose pour une grande partie sur ces modèles qui sont au cœur de l'internet "gratuit" d'aujourd'hui. Compte tenu de l'enjeu, nous pouvons nous attendre à des années d'appels et de litiges. Le droit des données personnelles est donc loin d'être fixé sur ces questions, de même que celles liées à l’Intelligence artificielle dont les algorithmes nécessitent l’utilisation d’un grand nombre de données avec une grande proportion de données personnelles engendrant de ce fait de nombreux risques et sans aucun doute des sanctions à la clé » pécise Denise Lebeau-Marianna, Location Head France de l’équipe IP&T (Intellectual Property & technology) en charge de la pratique Protection des données et Cybersécurité.

Alors que les problèmes de données personnelles liés à la publicité et aux réseaux sociaux ont fait les gros titres en 2022, l'intelligence artificielle et le rôle des données personnelles utilisées pour former l'IA font l'objet d'une attention croissante. En 2022, la société de reconnaissance faciale Clearview AI a fait l'objet de plusieurs enquêtes à la suite de plaintes déposées par des organisations de défense des droits numériques, dont l'organisation de Max Schrems, My Privacy is None of your Business (NOYB), et plusieurs amendes ont été infligées. L'IA et les plateformes d'apprentissage automatique devenant de plus en plus omniprésentes, l'étude prévoit davantage d'enquêtes réglementaires et de mesures d'application pour l'année à venir, l'accent étant mis sur les fournisseurs et les utilisateurs d'IA.

L'enquête fait également état de certaines décisions notables prises par les autorités de contrôle de la protection des données concernant l'application des exigences de Schrems II et du chapitre V du RGPD à des transferts internationaux spécifiques de données à caractère personnel. Les autorités de contrôle de la protection des données ont fait valoir qu'il n'est pas possible d'adopter une approche fondée sur le risque lors de l'évaluation des transferts de données à caractère personnel vers des "pays tiers", en soutenant essentiellement que les transferts sont interdits si la simple possibilité d'un accès gouvernemental étranger donne lieu à un risque de préjudice (aussi insignifiant et improbable soit-il).

« Une approche proportionnée et fondée sur le risque de l'interprétation des restrictions du RGPD sur les transferts internationaux de données personnelles n'est pas seulement autorisée mais, selon nous, légalement requise. L'adoption d'une approche "absolutiste" des restrictions de transfert et l'interdiction effective de tout transfert de données personnelles, aussi insignifiant que soit le risque de préjudice, risquent de causer un préjudice réel et durable aux consommateurs. Les transferts présentent de nombreux avantages pour les consommateurs et pour la société, en assurant le développement et le déploiement rapides des vaccins, en permettant une surveillance et une réglementation efficaces des entreprises et en donnant accès aux services en ligne dont bénéficient des milliards de personnes. Nous espérons que les autorités de surveillance reconsidéreront l'approche absolutiste adoptée dans ces premières décisions d'application » conclut Ewa Kurowska-Tober, Co-Global Chair pour la protection des données et la cybersécurité chez DLA Piper.

 


Forum des Carrières Juridiques 2024 : interview de Vanessa Bousardo, vice-bâtonnière de Paris

Forum des Carrières Juridiques 2024 : Laure Carapezzi, DRH, Osborne Clarke

Forum des Carrières Juridiques 2024 : Blandine Allix, associée - Flichy Grangé Avocats