La Commission de protection des données (DPC) est l’autorité nationale indépendante chargée de faire respecter le droit fondamental des personnes dans l’UE à la protection de leurs données personnelles.
À la lecture de son rapport, on apprend que « l’année 2023 a été une année chargée en matière de protection des droits relatifs aux données à caractère personnel (RGPD). L’année a vu une augmentation significative des plaintes traitées par la Commission de protection des données, avec des amendes record émises et des ordres correctifs imposés à la suite d’enquêtes transfrontalières et nationales ».
Concernant le RGPD, les points forts du rapport annuel 2023 sont les suivants :
- La DPC a rendu 19 décisions finalisées entraînant des amendes administratives d’un montant total de 1,55 milliard d’euros, ainsi que de multiples réprimandes et injonctions de mise en conformité imposées, notamment :
- En mai 2023, la DPC a annoncé la conclusion d’une enquête GDPR sur Meta Platforms Ireland Limited concernant les transferts de données de l’UE vers les États-Unis. La décision a imposé une amende de 1,2 milliard d’euros à Meta Ireland, en plus d’une ordonnance de mise en conformité de ses opérations de traitement.
- En septembre 2023, l’instance a rendu sa décision finale dans le cadre de son enquête sur TikTok Technology Limited. L’enquête portait sur le traitement de données à caractère personnel relatives à des enfants par TikTok. La décision a ordonné à TikTok de mettre ses traitements en conformité et a imposé des amendes d’un montant total de 345 millions d’euros.
- En 2023, la DPC a vu ses décisions d’imposer des amendes administratives à cinq organisations différentes, allant de 15 000 à 750 000 euros, confirmées par le Dublin Circuit Court. Toutes ces amendes ont été collectées et transférées au Trésor public irlandais.
En février 2023, la DPC a rendu sa décision finale dans le cadre de son enquête sur la Bank of Ireland. Cette enquête portait sur une série de violations de données sur l’application Bank of Ireland 365. Les pouvoirs correctifs exercés dans cette décision comprenaient un blâme, une amende de 750 000 euros et une ordonnance de mise en conformité du traitement.
En janvier 2023, l’organisme a rendu sa décision finale dans le cadre de son enquête sur Centric Health. L’enquête a été ouverte à la suite d’une attaque de ransomware affectant les données des patients contenues dans le système d’administration des patients de Centric, qui a touché plus de 70 000 patients.
Quelque 2 500 patients ont été définitivement affectés, leurs données ayant été supprimées sans qu’aucune sauvegarde ne soit disponible. La décision a réprimandé Centric et lui a imposé des amendes d’un montant total de 460 000 euros.
Sur l’ensemble des dossiers reçus en 2023, 2 600 ont progressé vers le processus de traitement des plaintes, 8 600 ayant été traités de manière relativement rapide. La DPC a résolu 3 218 plaintes par le biais de la procédure formelle de traitement des plaintes (ce chiffre inclut les plaintes reçues avant 2023).
À notre que la DPC a reçu 156 plaintes transfrontalières valables (en tant qu’autorité de surveillance principale de l’UE/EEE). 82,5 % des plaintes transfrontalières reçues depuis 2018, pour lesquelles le DPC est l’autorité de contrôle chef de file, ont été résolues.
Enfin, la DPC a entraîné le report ou la révision de quatre projets de plates-formes internet prévus ayant des implications pour les droits et les libertés des individus.