2023 a été une année record pour les sanctions des Garants européens de la protection de la vie privée. Les autorités ont prononcé 1,78 milliard d’euros de sanctions en un an seulement, soit 14 % de plus qu’en 2022. Mais ce qui a motivé ce résultat, c’est surtout l’amende maximale infligée par le garant irlandais à Meta en mai, pour violation du transfert de données personnelles vers pays tiers (notamment les États-Unis), le plus élevé jamais attribué jusqu’à présent pour le respect du règlement européen sur la protection de la vie privée, le RGPD, en vigueur depuis mai 2018. Pour dresser le bilan d’un an de décisions des autorités nationales des lois européennes sur la protection des données est le cabinet d’avocats international Dla Piper, dans un rapport qui analyse la tendance de l’année qui vient de se terminer, sous deux profils : celui des sanctions, précisément, et celui des soi-disant violations de données, ou des « vols » et , en général, les violations de données personnelles signalées aux Garants par les entreprises, les administrations publiques et les professionnels.
Le budget 2023
La maxi-amende infligée à Meta du Irish Privacy Guarantor a enregistré un double record : celui du montant global maximum des sanctions imposées en un an par les Autorités (1,78 milliard contre 1,56 en 2022) et de l’autre, précisément, celui du montant unique le plus élevé. jamais imposé au cours de ces cinq années de validité du règlement européen. Mais à y regarder de plus près – selon le rapport des experts de Dla Piper – 2023 n’a pas été une année si exceptionnelle en matière de protection de la vie privée. En fait, le tournant reste 2022, lorsque les sanctions ont augmenté de 50 % par rapport aux 12 mois précédents. Ce recul s’explique en grande partie par le fait qu’un grand nombre des sanctions décidées par les Garants en 2023 ont ensuite été réduites – voire annulées – devant les tribunaux. Les amendes infligées aux garants en exécution d’avis et de décisions contraignantes du garant de l’UE ont également diminué (lo Comité européen de la protection des données). Avec les montants de 2023, le total des amendes imposées en vertu du règlement européen dans toute l’Europe a atteint 4,68 milliards d’euros de 2018 à aujourd’hui.
Italie
L’Italie occupe la quatrième place du « top dix » des pays de l’UE les plus sanctionnés, avec plus de 145 millions d’euros demandés aux entreprises de 2018 à aujourd’hui. Devant eux se trouvent l’Irlande, le Luxembourg et la France. Ce dernier avec un net écart : 546 millions d’amendes infligées.
Le bilan de l’Irlande
Ce classement spécial des pays les plus « rigoureux » en matière de vie privée est dominé par l’Irlande : plus de 2,2 milliards d’amendes pour violations du RGPD demandées au cours de ces cinq années, dont, en fait, seulement la moitié l’an dernier avec Meta. Naturellement, les données sont influencées par le fait que le pays est l’avant-poste européen de presque toutes les grandes entreprises technologiques. Et ce sont les entreprises les plus « sensibles » en matière de protection des données personnelles. En outre, le problème auquel l’Irlande est confrontée avec la maxi-sanction contre Meta est tout sauf un chapitre clos : l’entreprise propriétaire de Facebook et Instagram doit répondre du transfert illégal de données de l’Europe vers les États-Unis, et avec l’amende est également venue l’ordre de cesser rapidement ce transfert. Mais le problème est plus large et concerne toutes les entreprises qui traitent des données entre les deux continents, après un arrêt de la Cour de justice de l’Union européenne qui a fait tomber les règles régissant cet échange. Les institutions et les autorités travaillent depuis pour trouver un accord qui mettrait fin aux incertitudes juridiques sur le sujet.
Violations de données
En 2023, en moyenne, 335 violations de données par jour ont été signalées en Europe. Plus ou moins le même nombre enregistré en 2022, où il y en avait 328. L’année dernière, comme l’année précédente, le plus grand nombre d’attaques a été signalé en Allemagne : plus de 32 000 signalements. L’Italie se situe à peu près au milieu du tableau (elle est douzième) mais avec un net écart par rapport au premier : seulement 1 688 cas signalés l’année dernière. Comme le souligne l’étude de Dla Piper, derrière ces grandes différences, il pourrait y avoir aussi des interprétations différentes du règlement qui impose de signaler toutes les violations de données, à l’exception de celles qui ne constituent pas un risque pour les droits et libertés de l’individu. Une règle qui, puisqu’elle ne fixe pas de limites ou de seuils précis, laisse également une certaine incertitude parmi ceux qui doivent décider de signaler ou non la violation de données.