En 6 ans, les entreprises ont fait l’objet de 4,5 milliards d’euros d’amendes pour manquement au RGPD

mai 2024 par NordLayer

Le règlement général sur la protection des données (RGPD) de l’Union européenne a affecté le paysage des entreprises depuis sa mise en application le 25 mai 2018. Conçue pour renforcer la protection des données et de la vie privée des individus au sein de l’UE, cette législation a remodelé la façon dont les entreprises gèrent et traitent les données personnelles.

NordLayer a récemment découvert qu’en six années d’existence du RGPD, les autorités de protection des données (DPA) individuelles ont émis 2 072 infractions, accumulant 4,5 milliards d’euros d’amendes. La menace de sanctions, qui peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise, a servi de rappel pour prendre au sérieux les pratiques de protection des données.

"Nous avons vu des entreprises de tous secteurs modifier leurs pratiques de traitement des données et investir dans des mesures de sécurité pour se mettre en conformité », déclare Carlos Salas, expert en cybersécurité chez NordLayer. “Bien que la conformité totale ait été un défi pour de nombreuses entreprises, l’impact du RGPD sur l’autonomisation des individus et la responsabilisation des organisations en cas de mauvaise manipulation des données ne peut pas être négligé. Il a transformé le paysage numérique, obligeant à donner la priorité au droit à la vie privée, ce qui était plus que nécessaire."

Dans quels pays les entreprises se voient-elles infliger le plus d’amendes ?

Les entreprises espagnoles ont enfreint le RGPD 842 fois et ont payé 80 millions d’euros d’amendes depuis 2018. L’Italie arrive deuxième sur cette liste : les organisations du pays ont reçu plus de deux fois moins d’infractions au RGPD que l’Espagne, mais elles ont payé près de trois fois plus d’amendes. Les entreprises italiennes ont reçu 358 amendes et ont payé près de 229 millions d’euros.

Les entreprises françaises ont quant à elles reçu 45 amendes, pour lesquelles elles ont dû payer 371 millions d’euros. Les autorités françaises chargées des données ont sanctionné Google à deux reprises en 2021 pour insuffisance de la base juridique pour le traitement des données, et ont payé 90 millions d’euros et 60 millions d’euros pour des infractions distinctes. La même année, elles ont également infligé une amende de 60 millions d’euros à Facebook.

Lorsqu’on observe les pays où les entreprises ont payé les plus grosses sommes pour leurs infractions, l’Irlande se démarque parmi d’autres. Depuis 2018, les organisations irlandaises ont payé 2,8 milliards d’euros d’amendes. La raison principale est que de multiples grandes entreprises technologiques comme Meta et TikTok y ont enregistré leurs filiales européennes et ont été frappées par des amendes massives de plusieurs millions de dollars.

Les plus grands "criminels" et leurs infractions

Sans concurrence, le plus grand contrevenant au RGPD est Meta. Sur les 10 amendes les plus importantes, elle est responsable de 6 d’entre elles (4 en tant que Meta, une en tant que Facebook et une en tant que WhatsApp). Leur plus grande violation leur a coûté 1,2 milliard d’euros pour base juridique insuffisante pour le traitement des données en 2023. À deux autres reprises, le groupe a dû payer environ 400 millions d’euros pour non-respect des principes généraux de traitement des données.

En 2021, Amazon a également dû verser 746 millions d’euros aux autorités luxembourgeoises chargées de la protection des données. L’année dernière, TikTok a payé 345 millions d’euros pour manquement au RGPD.

Les entreprises sont le plus souvent condamnées à des amendes pour insuffisance de la base juridique du traitement des données. Depuis 2018, 635 cas de violations de ce type ont été recensés, ce qui a coûté 1,6 milliard d’euros aux entreprises. Pour le non-respect des principes généraux de traitement des données, les organisations ont été condamnées à 578 amendes et ont payé plus de 2 milliards d’euros.

"Atteindre et maintenir la conformité au RGPD est un parcours continu, et non une destination unique", déclare Salas. "Les réglementations relatives à la protection des données évoluent, tout comme les cybermenaces qui deviennent plus sophistiquées, de sorte que les entreprises doivent rester proactives dans leur approche de la confidentialité et de la sécurité des données. Des solutions comme NordLayer peuvent aider les organisations à rester en tête et à favoriser une culture de la conformité qui répond aux exigences réglementaires et maintient la confiance de leurs clients et parties prenantes.”

Méthodologie

Les statistiques mentionnées ci-dessus ont été acquises en analysant les données agrégées recueillies sur la base de données GDPR Enforcement Tracker à partir du 16 mai. CMS, un cabinet d’avocats international, a analysé tous les chiffres fournis sur le site web.