La France est le pays européen qui a infligé les plus lourdes sanctions financières aux entreprises qui sont en délicatesse avec le RGPD. Paradoxalement, notre pays n'est pas celui qui reçoit le plus de plaintes.
Plus de dix-huit mois après l'entrée en application du RGPD, un premier bilan comptable peut être tiré pour la période allant du 25 mai 2018 au mois de janvier 2020. Selon une enquête du cabinet d'avocats DLA Piper, 160 921 violations de données à caractère personnel ont été notifiées aux différentes autorités nationales de contrôle de protection des données (la Cnil en France par exemple).
Etonnament, c'est l'un des pays les moins peuplés de l'Union européenne qui enregistre le plus de plaintes. Les Pays-Bas (17 millions d'habitants) figurent sur la plus haute marche du podium avec 40 647 notifications... soit près de 25 % du total européen ! Viennent ensuite l'Allemagne (37 636 notifications), le Royaume-Uni (22 181) et l'Irlande (10 516).
La France se trouve en 9ème position avec 3 459 plaintes.
La France sort l'artillerie lourde
En revanche, notre pays n'hésite pas à sortir l'artillerie lourde en matière de sanctions financières. La France est devenu le pays européen le plus sévère avec un total de 51,1 millions d'euros infligés aux entreprises qui sont en délicatesse avec le RGPD. Au mois de janvier 2019, la Cnil avait notamment prononcé une sanction inédite de 50 millions d'euros à l'encontre de Google pour "manquement aux obligations de transparence et d'information". La Commission nationale de l'informatique et des libertés pointait en particulier le caractère "excessivement disséminé" des données de personnalisation de la publicité.
La France a-t-telle eu la main lourde ? On pourrait le penser en comparaison de ce qui se fait ailleurs. L'Allemagne, deuxième pays le plus sévère, a infligé des sanctions d'un montant de seulement 24,5 millions d'euros. L'Autriche pointe à la troisième place avec 18,1 millions d'euros. A ce jour, sept pays n'ont infligé aucune sanction financière (Luxembourg, Finlande, Irlande...)
Beaucoup de recours dans les années à venir
Pour Patrick Van Eecke (cabinet DLA Piper), "les premières amendes du RGPD soulèvent de nombreuses questions. Demandez à deux autorités de régulation différents comment les amendes RGPD devraient être calculées et vous obtiendrez deux réponses différentes ! Mais une chose est sûre, nous pouvons nous attendre à voir beaucoup plus d'amendes et de recours dans les années à venir".