A l’heure où la CNIL fait son bilan pour l’année 2024, l’association NOYB (None of Your Business) dresse un constat préoccupant sur l’application du RGPD en Europe. Fondée par l’activiste autrichien Max Schrems, NOYB est une organisation à but non lucratif dédiée à la défense de la vie privée et des droits numériques des citoyens européens. Son objectif est d’assurer l’application effective des réglementations en matière de protection des données en engageant des actions stratégiques contre les grandes entreprises et en surveillant le travail des autorités de protection des données (APD, organismes chargés de veiller à l’application du RGPD et à la protection des données personnelles dans chaque État membre de l’UE).
Une application inégale du RGPD à travers l’Europe
Les APD européennes ont des approches très variées en matière d’application du RGPD. Certaines, comme l’autorité irlandaise (DPC) ou la CNPD luxembourgeoise, ont prononcé des amendes record contre les grandes entreprises technologiques, tandis que d’autres, comme celles des Pays-Bas ou de la France, affichent un taux de sanctions relativement bas. Entre 2018 et 2023, l’APD slovaque a infligé des amendes dans 6,84 % des cas, suivie par la Bulgarie (4,19 %), Chypre (3,12 %), la Grèce (2,65 %) et la Croatie (2,54 %). À l’inverse, des pays comme les Pays-Bas (0,03 %), la France (0,10 %) et l’Irlande (0,26 %) se montrent bien plus indulgents.
Un contraste frappant avec d’autres domaines et des comparaisons internationales
Cette disparité dans l’application du RGPD, soulignée par NOYB dans son analyse, se distingue nettement d’autres domaines réglementaires. Par exemple, en Espagne, l’Agence Espagnole de Protection des Données (AEPD) a reçu 15 128 plaintes en 2022 et a infligé 378 amendes, soit un taux de 2,5 %. À titre de comparaison, les autorités espagnoles ont délivré 3,7 millions de contraventions pour excès de vitesse la même année. Cette différence met en évidence la priorité accordée à certaines régulations par rapport à d’autres, illustrant une application plus stricte des règles de sécurité routière que de celles liées à la protection des données personnelles.
L’importance des amendes pour assurer la conformité
Une enquête menée par NOYB auprès de professionnels de la protection des données souligne l’impact crucial des amendes pour garantir la conformité des entreprises au RGPD. Environ 67,4 % des répondants estiment que les décisions des APD assorties d’amendes influencent directement les dirigeants à mettre en place des mesures de conformité. De plus, 61,5 % des répondants affirment que des sanctions infligées à d’autres entreprises incitent leur propre organisation à respecter la réglementation.
Les experts du secteur insistent sur la nécessité d’une application plus uniforme des sanctions, soulignant que certaines grandes entreprises préfèrent encore payer des amendes plutôt que de revoir leurs pratiques en profondeur.
Des budgets en hausse, mais des résultats mitigés
Malgré une augmentation significative des budgets alloués aux APD entre 2020 et 2024, cette hausse ne s’est pas traduite par une augmentation proportionnelle des amendes infligées. L’APD néerlandaise, par exemple, a vu son budget croître de 62 % en quatre ans, atteignant près de 37 millions d’euros en 2023, mais n’a imposé que 1,98 million d’euros d’amendes cette même année. Ce décalage met en lumière une difficulté non pas financière, mais davantage liée à une volonté politique et administrative d’appliquer les sanctions.
Pour renforcer l’efficacité du RGPD, plusieurs pistes d’amélioration sont envisagées par les experts et les défenseurs des droits numériques :
- Réduction des délais de traitement : les APD doivent accélérer l’instruction des plaintes pour éviter qu’elles ne s’éternisent sur plusieurs années.
- Harmonisation des pratiques entre les états membres : certaines APD, comme en Irlande ou aux Pays-Bas, sont critiquées pour leur laxisme.
- Une coopération renforcée entre autorités permettrait une application plus cohérente du RGPD.
- Amendes plus dissuasives : les experts suggèrent d’augmenter la fréquence et le montant des sanctions pour inciter les entreprises à se conformer plus strictement à la réglementation.
- Meilleure transparence des décisions : une publication plus systématique des enquêtes et décisions prises par les APD permettrait aux citoyens et aux entreprises de mieux comprendre l’application du RGPD.
Le rôle crucial des organisations de défense des droits numériques
Entre 2018 et 2023, les APD européennes ont infligé un total de 4,29 milliards d’euros d’amendes, dont 1,69 milliard résultant directement des actions de NOYB. Bien que le RGPD ait posé un cadre juridique solide pour la protection des données personnelles en Europe, son application demeure largement insuffisante.
Pour garantir une protection effective des droits des citoyens, il est impératif que les APD renforcent leurs efforts de sanction et que les organisations de la société civile, à l’instar de NOYB, poursuivent leur travail de surveillance et d’application du règlement.
Source : NOYB, Data Protection Day: Only 1.3% of cases before EU DPAs result in a fine
