RGPD : vous êtes déçu-e par les faibles montants des amendes ?

Dans un article du Financial Times du 23 juillet 2019, on apprend que la Commission européenne a discuté des amendes prononcées depuis le 25 mai 2018 sur la base du RGPD. Elle a défendu les montants des amendes infligées qui sont jugés peu importants par certains en regard notamment des infractions commises ou des moyens financiers des entreprises sanctionnées, en particulier les grandes entreprises de technologies.

La Commission a rappelé que les autorités nationales ont adopté une approche pondérée relativement à leurs pouvoirs de sanction, et qu’elles ont privilégié le dialogue, surtout avec les (petites) entreprises dont le coeur de métier n’est pas le traitement de données personnelles.

Vera Jourova, la Commissaire de la Justice, a ainsi considéré que le RGPD était un “pistolet chargé” à disposition des autorités de contrôle pour poursuivre et sanctionner les violations des règles de protection des données, ainsi que pour protéger les droits fondamentaux des citoyens européens.

Le Financial Times rappelle que l’amende la plus élevée prononcée en application du RGPD est celle infligée à Google (voir mon analyse), d’un montant de 50 millions d’euros. Cette sanction peut effectivement paraitre dérisoire au vu des 39.3 milliards de dollars de chiffre d’affaire acquis sur les trois derniers mois de 2018, mais il faut néanmoins souligner que l’amende a été prononcée uniquement pour des manquements quant aux informations fournies aux utilisateurs.

Si des questions se posent relativement aux moyens financiers et humains dont disposent les autorités de contrôle (on pense notamment à l’autorité irlandaise dont dépendent notamment Apple et Facebook) pour faire leur travail, la Commission indique que le succès du RGPD ne doit pas se mesurer au nombre d’amendes infligées, mais au moyen des changements dans la culture et le comportement de tous les acteurs impliqués.

L’UE invite ainsi les autorités de contrôle à faire usage de toute la palette d’outils dont elles disposent, l’amende n’étant pour rappel que la mesure ultime. Les autorités de contrôle peuvent ainsi interdire à une entreprise de traiter certaines données personnelles dans un certain but, et ce pendant une durée déterminée jusqu’à ce que la violation constatée soit corrigée et ses effets réparés.

L’UE indique encore que l’absence d’amendes très élevées provient également de la volonté pour les autorités de contrôle de s’assurer que leurs dossiers (preuves, respect des procédures et appréciations juridiques) sont suffisamment solides dans l’éventualité où ils seraient contestés devant un tribunal. En outre, les situations à analyser sont souvent très complexes, ce qui nécessite du temps et une grande quantité de travail. Ceci explique d’ailleurs pourquoi certaines enquêtes lancées dès l’applicabilité du RGPD sont toujours en cours plus d’un an après.

Commentaire

Cet article du FT est bienvenu. Il est en effet important de rappeler que les amendes infligées en raison d’une violation du RGPD ne sont pas nécessairement élevées, et surtout que les autorités ont toute une palette d’autres moyens pour sanctionner une entreprise. Les amendes sont infligées à celles qui ne respectent pas les règles du jeu, celles qui sont récalcitrantes, de mauvaise foi, non-coopératives, etc.

Si l’attitude conciliante, presque bienveillante, des autorités de contrôle est à saluer, il conviendrait de ne pas (chercher à) en abuser…