RGPD en 2024 : Moins d’amendes, mais pas moins de surveillance !

Le total des sanctions RGPD chute en 2024, mais les régulateurs restent inflexibles, avec un contrôle accru sur la finance, l’énergie et les nouvelles technologies. Entre enquêtes ciblées et encadrement des usages de l’IA, l’Europe affine son approche pour une protection toujours plus stricte des données personnelles.

Un rapport du cabinet d’avocats international DLA Piper révèle que, pour la première fois en sept ans, le montant total des amendes infligées au titre du RGPD dans les pays européens a reculé en 2024. Les sanctions se sont ainsi élevées à 1,2 milliard d’euros, soit une baisse de 33 % par rapport à 2023 – une année marquée par l’imposition d’une amende record (étrangement aussi de 1,2 milliard d’euros) à Meta par le régulateur irlandais.

L’Irlande, leader de l’application du RGPD

Fréquemment le chef de file dans les enquêtes transfrontalières impliquant des grandes entreprises du numérique, l’Irish Data Protection Commission (DPC) continue d’afficher une poigne de fer en matière de protection des données. Outre la sanction historique infligée en 2023 à Meta, le régulateur irlandais a également LinkedIn pour 310 millions d’euros et Meta pour 251 millions d’euros lors de l’année écoulée. Depuis l’entrée en vigueur du RGPD en 2018, l’Irlande cumule ainsi un total de 3,5 milliards d’euros d’amendes, confirmant sa position dominante dans le paysage européen.

Le Luxembourg suit en deuxième position avec environ 746 millions d’euros d’amendes infligées depuis 2018, notamment grâce à une amende marquante infligée à Amazon (en 2021, l’appel est toujours en cours).

Sur la durée, la France reste également une valeur sûre en matière d’application du RGPD, grâce à une vigilance constante de ses autorités de contrôle. Malgré une baisse globale des amendes en 2024, le rythme des notifications de violations de données demeure élevé – environ 363 par jour –, illustrant la prudence accrue des entreprises face aux sanctions potentielles et aux procédures d’enquête.

Par ailleurs, même si les montants individuels sont souvent moins élevés, des pays comme l’Italie et l’Espagne ont également une activité significative en matière d’infractions et infligent un nombre important d’amendes.

Des cibles qui se diversifient

Si les géants de la tech et des réseaux sociaux demeurent les cibles privilégiées – neuf des dix plus fortes amendes ayant concerné ce secteur – d’autres domaines sont désormais dans le collimateur des autorités européennes. Par exemple, le secteur financier a vu des sanctions importantes : en Espagne, un grand groupe bancaire (CaixaBank) a écopé de deux amendes totalisant 6,2 millions d’euros pour des manquements en matière de sécurité, tandis qu’en Pologne, plusieurs banques internationales ont été sanctionnées pour ne pas avoir informé leurs clients en cas de fuite de données.

Le secteur de l’énergie n’est pas en reste, comme en témoigne l’amende de 5 millions d’euros infligée en Italie à au fournisseur Hera Comm pour l’utilisation de données clients obsolètes et une réponse insuffisante aux demandes d’exercice des droits.

Vers une Responsabilité Personnelle et une Régulation de l’IA

L’évolution du cadre réglementaire se traduit également par une volonté de renforcer la responsabilité individuelle. À cet égard, la Dutch DPA a ouvert une enquête pour déterminer si elle peut tenir personnellement responsables les dirigeants de Clearview AI, accusés de multiples infractions au RGPD. Parallèlement, l’essor de l’intelligence artificielle incite les régulateurs à redéfinir les limites de l’innovation. La récente intervention de la Irish DPC, qui a contraint X (anciennement Twitter) à suspendre le traitement de certaines données pour l’entraînement de son chatbot Grok, témoigne de cette dynamique. L’ensemble de ces actions s’inscrit dans un contexte où la réglementation se veut garantir une IA responsable, conforme aux exigences du RGPD.

Un Environnement en Mutation

Si l’année 2024 affiche une diminution du montant total des amendes par rapport à 2023, ce recul s’explique en partie par l’effet exceptionnel de l’amende historique sur Meta l’an passé. Néanmoins, la rigueur des autorités européennes demeure intacte et s’adapte aux nouveaux défis, qu’il s’agisse de renforcer la gouvernance, d’assurer une transparence accrue ou de maîtriser les enjeux liés à l’intelligence artificielle. Alors que le paysage du RGPD continue d’évoluer, la tendance est à une application de plus en plus ciblée et différenciée, avec une volonté européenne d’assurer un niveau de protection des données à la hauteur des enjeux de notre ère numérique.

À LIRE AUSSI :

Gouvernance

Trump peut-il réellement mettre en péril le RGPD ?

Thierry Derouet

4 Fév

À LIRE AUSSI :

Secu

Cinq ans de RGPD : au-delà des contraintes, des atouts révélés

Pierre-Randolf Dufau

28 Oct

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !