Gouvernance
RGPD : L’UE hausse le ton et frappe fort
Par Laurent Delattre, publié le 19 janvier 2023
2,92 milliards d’euros… C’est le total des amendes infligées en 2022 par les différentes autorités de contrôle européennes pour non-respect du RGPD !
Selon le nouveau rapport « GDPR Fines & Data Breach Survey 2023 » du cabinet DLA Piper, les autorités européennes de régulation et de contrôle de la mise en application du RGPD ont infligé en 2022 des amendes pour un total de 2,92 milliards d’euros. Soit plus du double du montant infligé en amendes en 2021 !
Et ce n’est pas véritablement une surprise mais bien davantage la résultante des multiples enquêtes menées autour des technologies publicitaires et de gestion des cookies.
En revanche on notera que, pour la première depuis 4 ans et la mise en place du RGPD, le nombre de notifications concernant les violations de données est en diminution : 109.000 notifications en Europe en 2022 contre 120.000 en 2021. Reste à savoir si cela traduit une meilleure cyber-résilience des entreprises ou, bien plus probablement, une réticence accrue des entreprises à notifier leurs vols de données par crainte d’enquêtes et d’amendes !
À LIRE AUSSI :
Au palmarès des pays les plus actifs face aux manquements RGPD, l’Irlande arrive en tête en 2022 ce qui n’est pas surprenant puisque tous les grands du numérique y ont leurs infrastructures Cloud et leurs services juridiques. L’Irlande domine ainsi le Top 10 des principales avec 5 amendes records représentant à elles seules un montant global de plus d’un milliard d’euros.
Quant aux perspectives 2023, le rapport note une tendance croissante des autorités de contrôle européennes à s’attaquer aux questions soulevées par l’Intelligence Artificielle, ses jeux de données, ses biais, et les liens inextricables entre système IA et données personnelles. Les spécialistes de DLA Piper s’attendent à davantage de lois et mesures d’application en matière d’IA dans les années à venir.
Toutefois, DLA Piper invite désormais les entités de contrôle à plus de souplesse notamment pour éviter les tricheries des entreprises mais aussi parce que leur position ‘absolutiste’ interdisant au final tout transfert de données personnelles pourrait être, au final, plus préjudiciable que bénéfique.
Pour Ewa Kurowska-Tober, Global Co-Chair Data Protection and Cybersecurity chez DLA Piper, « L’adoption d’une approche “absolutiste” des restrictions de transfert et l’interdiction effective de tout transfert de données à caractère personnel, aussi insignifiant que soit le risque de préjudice, peut causer un préjudice réel et durable aux consommateurs en restreignant les transferts qui sous-tendent bon nombre des technologies et services avant-gardistes dont bénéficie notre société numérique. Nous espérons que les autorités de contrôle reconsidéreront l’approche absolutiste adoptée dans certaines des premières décisions d’application relatives aux transferts internationaux. »
Pour cela, il faudra que les nouvelles négociations en cours entre Europe et USA – annoncées début 2022 et qui se sont traduites par un Décret de Joe Biden fin 2022 – aboutissent à un réel changement d’attitude des autorités américaines et un assouplissement des vues européennes.
À LIRE AUSSI :