Article Droit de la propriété intellectuelle, média et art | 30/05/23 | 10 min. | Florence Chafiol Alexandra Antalis Stéphanie Lapeyre
Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrait en vigueur avec des objectifs ambitieux : accroitre le contrôle des citoyens sur leurs données personnelles, responsabiliser les acteurs, harmoniser l’application de la réglementation sur l’ensemble du territoire européen et renforcer la coopération entre les autorités afin de crédibiliser la régulation dans ce domaine. S’il fut l’objet de vives critiques à cette époque, de nombreux organismes craignant qu’il ne freine l’innovation et le développement économique, il fut également encensé pour la protection qu’il était supposé octroyer aux individus contre le traitement massif et parfois anarchique par les géants du net de leurs données.
5 ans après, le RGPD semble avoir rempli nombre de ses missions mais a également montré ses limites.
Le nombre de contrôles réalisés et de mesures adoptées à leur suite[4], ainsi que le montant des sanctions prononcées, ont considérablement augmenté au fil des ans, poussant les organismes à renforcer leur conformité par crainte du préjudice financier et surtout réputationnel auquel un manquement les exposerait. Au total, environ 2,5 milliards d’euros d’amendes ont été infligés en cinq ans par les autorités de protection des données européennes. La CNIL est à ce titre l’une des autorités les plus réactives puisqu’elle comptabilise à elle seule plus de 500 millions d’euros d’amendes depuis 2018.
Ces chiffres doivent néanmoins être relativisés dans la mesure où les sanctions prononcées à l’encontre des GAFAM représentent la majeure partie de ces montants (près de 93% s’agissant de la France). Or, bien que de telles sanctions puissent paraitre impressionnantes (la CNIL a par exemple sanctionné Google à 150 millions d’euros d’amende en 2021), il a plusieurs fois été reproché aux autorités de protection des données (et en particulier à l’autorité de protection des données irlandaise, chargée du contrôle de la plupart des géants du net), de se montrer trop clémentes en limitant le montant des éventuelles sanctions infligées (celles-ci ne représentant qu’une infime portion du chiffre d’affaires de l’entreprise sanctionnée alors que le montant maximal s’élève à 4% du chiffre d’affaire mondial). Le Comité européen de protection des données a d’ailleurs rendu plusieurs décisions demandant à l’autorité irlandaise de revoir à la hausse le montant des sanctions envisagées dans le cadre de procédures contentieuses. Le prononcé dans ce cadre, le 22 mai 2023, d’une amende record d’1,2 milliard d’euros à l’encontre de Meta[5] par l’autorité irlandaise témoigne d’une probable tendance des autorités à se montrer, à l’avenir, bien plus sévères.
Les autorités de protection des données européennes collaborent de plus en plus efficacement lorsque les manquements au RGPD concernent des traitements transfrontaliers de données. Plus de 809 procédures de coopération ont ainsi été mises en œuvre entre 2018 et 2021, à l’issue desquelles près de 300 décisions ont été adoptées[6]. Si une telle coopération favorise indéniablement une interprétation et une application du RGPD harmonisées en Europe, elle se heurte malgré tout aux différences de procédures entre les pays et aux spécificités légales nationales subsistantes (par exemple s’agissant des règles en matière de santé ou de prospection commerciale) qui en limitent la portée.
Le développement de l’intelligence artificielle (IA) soulève des problématiques inédites et amène à s’interroger sur la suffisance et la pertinence du cadre légal actuel pour encadrer correctement l’utilisation des données à caractère personnel par ces nouveaux outils. Le principal défi du RGPD, du règlement à venir sur l’IA et des autorités qui en contrôleront le respect dans les années à venir sera alors de tenter de façonner le développement d’IA respectueuses de la vie privée en accompagnant de manière adaptée et pragmatique les acteurs de ce secteur.
[1] https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-la-cnil-presente-le-bilan-2022-de-son-action-repressive
[2] Autorité de protection des données irlandaise, 2022 Annual Report
[4] 345 contrôles ont par exemple été réalisés par la CNIL en 2022 aboutissant à 21 sanctions et 147 mises en demeure : https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-la-cnil-presente-le-bilan-2022-de-son-action-repressive
[5] https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf - à noter qu’alors que l’autorité irlandaise souhaitait infliger une sanction de 390 millions d’euros à Meta, le CEPD a estimé que le montant de la sanction devait représenter 20 à 100% du maximum légal applicable à savoir 4% du CA de l’ensemble des entités du groupe Meta.
[6] CNIL, 42ème rapport d’activité, 2021.