D’après une enquête annuelle relatives aux amendes et violations de données dans le cadre du règlement général sur la protection des données personnelles (RGPD) menée par le cabinet d’avocats international DLA Piper, près de 1,1 milliard d’euros d'amendes ont été infligées depuis le 28 janvier 2021 sur un large scope d'infractions au règlement général européen relatif à la protection des données personnelles, soit une augmentation de 594 %.
Cette enquête a été menée auprès des 27 États membres de l'Union européenne incluant également le Royaume-Uni, la Norvège, l'Islande et le Liechtenstein.
- Le Luxembourg, l'Irlande et la France sont en tête des pays se voyant infliger les amendes individuelles les plus élevées avec 746 millions d'euros ; 225 millions d'euros et 50 millions d'euros respectivement. Le Luxembourg et l'Irlande ont infligés des amendes records qui les ont hissé en haut du classement.
- Le nombre de notifications de violations a augmenté de 8 % par rapport à l'année dernière (passant d'une moyenne de 331 notifications par jour l'année dernière à 356 cette année), et plus de 130 000 violations de données personnelles notifiées au total depuis le 28 janvier 2021.
- Par rapport au nombre d’habitant, les Pays-Bas arrivent en tête des notifications de violations de données cette année devant le Liechtenstein et le Danemark avec respectivement 151, 136 et 131 notifications de violation pour 100 000 habitants. La Croatie, la République tchèque et la Grèce figurent en bas de ce classement.
- L'augmentation des amendes est significative, mais l'arrêt Schrems II (dans l'affaire Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems) de la plus haute juridiction européenne et ses implications en matière de restriction des transferts internationaux de données restent le principal défi de conformité en matière de protection des données pour de nombreuses organisations concernées par le RGPD.
Denise Lebeau-Marianna, responsable de la pratique IPT au sein du bureau de Paris de DLA Piper et associée en protection des données personnelles commente : "La multiplication et l’augmentation des amendes sont certes significatives, mais l'arrêt Schrems II a un impact encore plus important dans la mesure où il conduit à déplacer la prise en charge des problématiques de conflit de lois, vers les entreprises exportatrices et importatrices de données personnelles pour les besoins de leur activité. Satisfaire aux exigences de Schrems II est un véritable défi, même pour les organisations les plus sophistiquées et les mieux outillées, ce qui implique que les petites et moyennes entreprises auront beaucoup de difficulté à les relever. La menace de suspension ou d’arrêt des transferts de données personnelles est ainsi potentiellement beaucoup plus dommageable et coûteuse pour l’entreprise que la menace d'amendes et de demandes d'indemnisation dans la mesure où elle impacte directement son activité. Par ailleurs, la nécessité de se conformer à cette décision oblige les entreprises à consacrer leurs budget et ressources à ce sujet au détriment d’autres risques liés à la vie privée qu’elles auraient traités ».