Près de 1,1 milliard d'euros d'amendes ont été infligés à des organisations au cours de l'année écoulée pour des violations du Règlement général sur la protection des données (RGPD) de l'Union européenne, selon le dernier rapport annuel du cabinet d'avocats DLA Piper.
Ce chiffre, totalisé depuis le 28 janvier 2021, représente près de sept fois le montant des amendes de 158,5 millions d'euros (179,5 millions de dollars américains) de l'année précédente.
Deux sanctions - l'amende de 746 millions d'euros infligée par le Luxembourg à Amazon et l'amende de 225 millions d'euros infligée par l'Irlande à WhatsApp - représentent près d'un milliard d'euros du total depuis 2021.
Ce chiffre montre que les autorités de protection des données (APD) commencent à prononcer le type de sanctions qui attirent l'attention et qui étaient initialement prévues par la loi sur la protection de la vie privée.
Cependant, DLA Piper note que l'Italie et l'Espagne restent en tête pour ce qui est du nombre d'amendes infligées, ce qui laisse une « question ouverte » quant à l'approche la plus efficace pour améliorer la conformité.
Au-delà de l'augmentation du montant des amendes, le cabinet d'avocats estime que le plus grand défi pour les entreprises en matière de protection des données est de s'assurer que les transferts de données entre l'Union européenne et les pays tiers sont conformes à l'arrêt « Schrems II » de juillet 2020.
Selon cet arrêt, les données ne peuvent être transférées hors de l'Union européenne que si le pays d'origine peut garantir le même niveau de protection des données que le RGPD.
La menace des suspensions de transferts
« Cet arrêt n'engendre pas seulement un risque d'amendes et de demandes d'indemnisation, il menace également d'une interruption de service en cas de suspension des transferts de données, avec de graves conséquences pour la continuité des activités », considère le cabinet d’avocats.
« La menace de suspension des transferts de données est potentiellement beaucoup plus dommageable et coûteuse que la menace d'amendes et de demandes d'indemnisation », a déclaré Ross McKean, président du groupe de protection des données et de sécurité au Royaume-Uni chez DLA Piper.
« L'accent mis sur les transferts et le travail important nécessaire pour se mettre en conformité signifie inévitablement que les organisations ont moins de temps, d'argent et de ressources pour se concentrer sur d'autres risques liés à la vie privée », complète Ross McKean.
Les entreprises peuvent s'attendre à être confrontées à un examen minutieux autour de la conformité des transferts de données dans le contexte des audits, de la diligence raisonnable, des processus d'approvisionnement et d'autres exercices de vérification de la conformité tout au long de 2022, a prédit DLA Piper.
De nombreuses entreprises sont encore loin d’être en conformité. Plusieurs APD de l'UE des enquêtes en cours sur la manière dont les exportateurs respectent les restrictions internationales en matière de transfert de données.
Plus de plaintes et d’enquêtes en 2022
Parmi les autres défis de conformité liés au règlement européen auxquels les entreprises doivent faire face, le principe de transparence de la loi sur la manière dont les données personnelles sont utilisées et partagées, et sur les raisons de cette utilisation, restera une priorité d'application pour les autorités de surveillance de l'Union européenne.
« Nous avons également constaté une “augmentation notable” des amendes à la suite d'enquêtes menées par les autorités de surveillance sur des mesures de sécurité inadéquates dans les entreprises, les cyberattaques s'étant multipliées pendant la pandémie », constate le cabinet d’avocats.
Et de prévenir :« Il y aura cette année beaucoup plus de plaintes, d'enquêtes et d'activités de mise en application en ce qui concerne les cookies et les technologies de suivi similaires. »
« En 2021, il y a eu une augmentation de 8 % par rapport à la moyenne de 331 notifications de violation par jour de l'année précédente, pour atteindre 356, avec plus de 130 000 violations de données personnelles notifiées au total depuis le 28 janvier », lit-on dans ce rapport.