Le règlement général sur la protection des données – le fameux RGPD – est entré en vigueur le 25 mai 2018. À l’approche de l’anniversaire de cette date, nous publions quelques statistiques sur l’application concrète du règlement et sur les sanctions prononcées au nom de la protection de nos données personnelles au sein de chaque État.
L’adoption du RGPD par le Parlement européen en 2016 a unifié les législations des États membres de l’Union européenne concernant la protection des données personnelles : tous ces pays, rejoints depuis par ceux de l’Espace économique européen (EEE), doivent respecter et faire appliquer les mêmes règles en la matière – à quelques petites exceptions près. Afin de laisser aux entreprises et aux autres organisations le temps de mettre leurs pratiques en conformité avec ces nouvelles règles juridiques, les dispositions du RGPD ne sont devenues applicables que le 25 mai 2018. Depuis, une autorité de contrôle désignée au sein de chaque État membre est chargée d’y faire appliquer le règlement. En France, c’est la Commission nationale de l’informatique et des libertés, la CNIL, autorité administrative indépendante déjà en charge de ces questions qui a naturellement hérité de cette mission.
À l’approche du second anniversaire de l’entrée en vigueur du RGPD, nous avons tenté d’y voir plus clair sur son application réelle, en comparant le nombre et les montants des sanctions prononcées au sein de chaque État sur cette base pour faire cesser les utilisations malveillantes de nos données personnelles. Pour cela, nous avons réalisé quelques statistiques à partir des données mises en ligne sur le site enforcementtracker.com, qui répertorie et détaille les sanctions au fil du temps. Sans surprise, nous constatons que si le RGPD a bien établi une législation commune à tous les États membres, son application reste à ce jour très hétérogène : certains États ont décidé de réellement faire appliquer le règlement, tandis que d’autres semblent tolérer les comportements illégaux.
En effet, près de la moitié des 278 sanctions répertoriées par le site entre le 25 mai 2018 et le 20 mai 2020 ont été prononcées par les autorités de 3 États seulement (Espagne, Roumanie et Allemagne). 23 autres pays se répartissent l’autre moitié des sanctions – là aussi avec d’importantes disparités – tandis que les autorités de 5 États n’en ont prononcé aucune.
Pour la France, nous n’avons trouvé trace que de 5 sanctions prononcées par la CNIL. Ce chiffre situe le pays vers le milieu du classement, mais bien en dessous de la moyenne européenne (9 sanctions), fortement tirée par les 80 sanctions de l’autorité espagnole :
Afin de pouvoir comparer de manière plus fine l’application du RGPD, nous avons calculé le nombre de sanctions prononcées proportionnellement au nombre d’habitant·es de chaque État. De cette manière, nous pouvons constater si le nombre de sanctions est supérieur dans les pays les plus densément peuplés ou non1. Avec une population de près de 47 millions de personnes, l’Espagne compte par exemple 1,7 sanction pour chaque million d’habitant·es (80 sanctions / 47 millions d’habitant·es = 1,7). Avec ce calcul, l’autorité de contrôle espagnole n’est plus que la 6e plus active d’Europe. Quant à la France, rapportées à 67 millions d’habitant·es, les 5 sanctions prononcées par la CNIL – soit 0,075 pour chaque million de personnes – font pâle figure. En effet, ce chiffre se situe bien en deçà de la barre des 0,5 sanction prononcée pour chaque million de personnes recensées sur l’ensemble des territoires de l’UE et de l’EEE (278 sanctions / 518 millions de personnes).
Concernant le montant des sanctions, certaines des autorités de contrôle qui en prononcent le moins se trouvent être les plus sévères. Ce sont cette fois les autorités du Royaume-Uni et de la France que nous retrouvons en tête du classement, avec des amendes qui s’élèvent en moyenne à plusieurs dizaines de millions d’euros. Dans les 2 cas, ces chiffres sont gonflés par quelques amendes aux montants très élevés en comparaison des autres sanctions prononcées : 20 et 22 millions d’euros au Royaume-Uni2 (contre Marriott International et British Airways) et 50 millions d’euros en France (contre Google). Afin que le graphique reste lisible, nous avons d’ailleurs dû tronquer les chiffres affichés pour ces 2 pays, tant ils sont disproportionnés par rapport à ceux des autres. Pour apprécier pleinement ces chiffres, il importe de préciser que les tailles des entreprises sanctionnées sont particulièrement importantes et leurs comportements particulièrement graves. Aussi, si l’amende de 50 millions d’euros infligée à Google par la CNIL peut sembler élevée, elle reste tout de même bien loin des 4 milliards d’euros qu’elle aurait pu attendre – une fois proportionnée au chiffre d’affaires du géant du Net. Loin de ces sommes importantes, les montants de la plupart des amendes sanctionnant les infractions au RGPD sont en réalité beaucoup moins élevés : l’amende médiane pour l’ensemble des États ne s’élève ainsi qu’à… 10 000 € et les montants moyens des amendes prononcées en Espagne et en Allemagne qu’à environ 30 000 et 1 000 000 d’euros.
Enfin, les articles cités dans les décisions des autorités de contrôle révèlent que les infractions qu’elles sanctionnent concernent, dans la très grande majorité des cas :
- des violations des principes généraux du RGPD (29 % des cas),
- une absence de base juridique pour l’utilisation de données personnelles (23 % des cas),
- des mesures de sécurité insuffisantes (14 % des cas).
Dans des proportions beaucoup moins importantes, d’autres infractions sont également sanctionnées, notamment à propos de l’information des personnes dont les données personnelles sont utilisées, ou bien en cas de réponses inadaptées à des demandes d’exercice de droits (accès, modification, suppression…).
Nous le voyons, l’application du RGPD dans les différents pays est encore très inégale. Évidemment, ces quelques chiffres sont par nature limités et ne permettent pas de comprendre les subtilités propres à chaque situation. Pour autant, ils constituent tout de même une base de comparaison et illustrent la manière dont, en France, les pouvoirs publics ont particulièrement renoncé à protéger nos droits en matière de protection des données personnelles.
En effet, la stratégie choisie par la CNIL, en partie en raison de moyens insuffisants, mais aussi par manque de volonté, s’est jusque-là montrée inefficace, voire contre-productive. L’autorité a par exemple annoncé au début de l’été 2019 sa décision de repousser l’application de certaines dispositions du RGPD en ne sanctionnant pas des comportements pourtant manifestement illicites et malheureusement répandus – notamment sur de nombreux sites de presse en ligne – tels que le traçage des navigations sans le consentement des personnes concernées. Une mansuétude que les gestionnaires de ces sites internet, regroupés au sein du syndicat Le Geste, ne cessaient d’appeler de leurs vœux et dont on peine à comprendre le bien fondé. Pour ne citer que ceux-là, les multiples accidents en matière de données personnelles (voir ici ou là) connus par le journal Le Figaro – dont l’un des directeurs, Bertrand Gié, préside également Le Geste – illustrent au contraire la nécessité d’enfin forcer ces entreprises à respecter nos droits et à se conformer au RGPD. Alors que la presse française révèle régulièrement des scandales de ce type, le faible nombre de sanctions infligées par la CNIL en comparaison à ses homologues rend difficilement compréhensible le bien fondé de sa stratégie. À tel point que des associations comme La Quadrature du Net – à l’origine, avec l’association None Of Your Business, de la plainte ayant aboutie à la condamnation de Google en 2019 – en viennent à s’interroger sur l’utilité même de cette autorité administrative.
Fort heureusement, le RGPD a été pensé pour s’appliquer pendant des années, voire des décennies, et il est encore trop tôt pour établir un bilan définitif de son application. En accentuant collectivement la pression politique sur nos institutions, nous pouvons espérer parvenir à la mise en œuvre de ces obligations et à une protection réelle de nos droits en matière de données personnelles. En attendant, nous vous invitons à protéger votre intimité – et celles de vos proches par la même occasion – en utilisant des logiciels, extensions et services en ligne qui vous permettent de choisir comment vos données sont ou non collectées et utilisées. Pour en savoir plus, vous trouverez de nombreuses propositions dans notre présentation dédiée aux fondamentaux de la sécurité informatique.
Ces contenus sont publiés sous licence Creative Commons BY-SA-NC : cela signifie que vous pouvez les modifier et les partager comme bon vous semble, sauf pour des usages commerciaux, à condition d’utiliser une licence similaire pour les éventuels nouveaux contenus et de mentionner La Boussole. Si vous le souhaitez, vous pouvez retrouver les données brutes que nous avons utilisées pour établir ces statistiques et les détails de nos calculs dans ce document au format .ods.
Sources
- Enforcementtracker.com, proposé par CMS Law.Tax
- Article Démographie de l’Union européenne de Wikipédia en français
- Carte de l’Europe de Wikimedia Commons
Notes
- Calculer le nombre de sanctions proportionnellement au nombre d’organisations gérant des données personnelles au sein de chaque État aurait probablement été plus intéressant. Cependant, cette information est bien plus compliquée à obtenir et pose d’autres problèmes méthodologiques. Les résultats des calculs basés sur le nombre d’habitant·es de chaque pays nous paraissent fournir une base de comparaison suffisamment intéressante ▲
- En octobre et novembre 2020, l’Information Commissioner’s Office – l’équivalent britannique de la CNIL – a infligé à British Airways et à Marriott International des sanctions de, respectivement, 20 et 18,4 millions de livres. Ces montants sont dix et cinq fois moindre que ceux initialement projetés par l’autorité. Nous avons modifié les chiffres indiqués sur cette page pour tenir compte de ces décisions ▲
Publié sur le site de la coopérative de formation et de recherche La Boussole.