La réglementation européenne sur la protection des données (RGPD) continue de produire ses effets. Les autorités nationales auraient infligé bien plus d’amendes ces 12 derniers mois que les années précédentes. Mais les sanctions ne concernent pas que les grandes entreprises. Eclairage avec Dinu Codreanu, Manager Data Protection chez KPMG.
1. Il semble que les autorités européennes de protection des données aient infligé, depuis un an, bien plus d’amendes pour infraction au RGPD que les années précédentes. Comment cela s’explique-t-il?
Plusieurs facteurs doivent être pris en compte. D’abord, la maturité des autorités elles-mêmes. Depuis l’entrée en vigueur du RGPD (règlement général sur la protection des données) voici quatre ans, elles le maîtrisent davantage et identifient mieux les situations d’infraction. Ensuite et surtout, les décisions qui tombent actuellement sont le fruit de procédures relativement longues. Quand elles s’attaquent à des multinationales, cela nécessite de la coordination, des dossiers épais, cela prend du temps. Plus que le nombre d’amendes et leur montant, il serait surtout intéressant d’étudier le nombre de dossiers initiés…
2. On sait que des géants comme Amazon ou WhatsApp ont écopé d’amendes importantes. Les entreprises sanctionnées sont-elles surtout des grandes structures?
Si Amazon et WhatsApp totalisent une part importante des montants des amendes infligées, beaucoup de plus petites entreprises sont aussi concernées. Y compris des PME, sanctionnées pour plusieurs milliers d’euros. On voit aussi que des petits commerces ou des restaurateurs sont également sanctionnés pour des montants moins élevés, soit quelques centaines d’euros…
3. Quelles sont généralement les infractions commises et réprimées par les autorités de la concurrence?
C’est très variable mais, généralement, cela concerne la gestion du consentement, notamment pour les communications marketing. Cela concerne aussi l’information aux particuliers. La règle consiste en un consentement explicite et libre via une affirmation de l’individu. C’est-à-dire qu’il doit, par exemple, cocher pour montrer son consentement et ne pas décocher une case pré-remplie. Quant à l’information donnée aux surfeurs, ces derniers doivent comprendre des éléments tels que l’objectif du traitement des informations de chacun ou sa base légale. Ces notices sont cependant souvent incomplètes ou très inaccessibles, ce qui contrevient au principe de transparence du RGPD.
