Les plafonds ridiculement bas des amendes administratives ont entravé l’application effective de la législation européenne sur la protection des données pendant plus de vingt ans. Les géants américains de la technologie ont pu considérer ces petites amendes comme une sorte de prix normal à payer pour mener leurs activités. Cela fait aujourd’hui plus de deux ans que le Règlement général sur la protection des données (RGPD) est applicable après avoir été largement salué. L’augmentation drastique des sanctions que les autorités européennes de protection des données (« DPA ») peuvent désormais infliger en cas de violation du RGPD devait entraîner un changement de paradigme, mais ces sanctions draconiennes annoncées se font toujours attendre. À en croire les tribunes et les messages que l’on peut lire dans la presse et sur Twitter de la part des militants, des décideurs politiques et des consommateurs, il y a un sentiment assez large d’attentes non satisfaites. La pratique décisionnelle des DPA n’est pas en adéquation avec ce que la théorie nous dit de ce que l’on peut attendre des sanctions, en particulier dans sa fonction de dissuasion. Toutefois, sur la base des sanctions observables et des réactions qu’elles ont suscitées, il est possible de formuler des recommandations aussi bien à destination des autorités de contrôle que des entreprises.
Dans notre article intitulé « EU General Data Protection Regulation Sanctions in Theory and in Practice », qui sera publié dans le volume 37 du Santa Clara High Technology Law Journal prochainement en 2020, nous examinons les justifications des sanctions prévues par le RGPD et nous nous interrogeons sur la question de savoir si les sanctions effectivement prononcées par les DPA répondent bien aux fonctions théoriquement assignées aux sanctions. Les sanctions remplissent en effet différentes fonctions (confiscation, rétribution, neutralisation, etc.), mais dans le cas du RGPD, il apparaît que le principal rôle des sanctions est d’inciter à respecter les règles en étant dissuasives. Or, pour être dissuasives, les sanctions doivent être suffisamment sévères pour infléchir réellement les comportements des acteurs régulés. L’examen du montant des sanctions effectivement appliquées montre que les sanctions sont relativement modestes, alors même que le montant maximal des sanctions encourues en application du RGPD a significativement augmenté. Avant le RGPD, à quelques exceptions près, les sanctions étaient généralement plafonnées à des montants inférieurs à 1 million d’euros (par exemple 500 000 £ au Royaume-Uni, 100 000 euros en Irlande, 300 000 euros en Allemagne ou 105 000 euros en Suède). Depuis l’application du RGPD, on constate que les sanctions appliquées vont de 28 euros pour l’amende infligée à Google Ireland Limited par le régulateur hongrois à 50 millions d’euros pour l’amende infligée à Google Inc. par le régulateur français (la CNIL). Ces sommes restent très inférieures à l’amende maximale potentielle de 4 % du chiffre d’affaires, soit environ 5,74 milliards d’euros pour Google Inc. sur la base du chiffre d’affaires de 2019. Si les sanctions les plus élevées prévues par le RGPD ont été sensiblement plus élevées que celles prévues par la législation précédente, dans la pratique, elles sont encore très loin d’atteindre le montant maximal des amendes permises par le RGPD.
La faiblesse des sanctions prononcées par les autorités de régulation des données personnelles, en particulier par l’autorité irlandaise à qui revient la responsabilité de réguler la plupart des géants technologiques américains, peut apparaître comme un échec, mais il n’est pas passé inaperçu, comme le montrent les rapports institutionnels de l’UE sur les deux premières années du RGPD. En effet, ces rapports officiels plaident pour un renforcement des moyens alloués aux autorités de régulation, un plus grand recours aux mécanismes de coopération et pour davantage de cohérence dans les politiques d’application des sanctions. Nous soulignons ici le fait que, dans le domaine de la protection des données, on s’est peut-être trop appuyé sur les régulateurs nationaux alors que dans d’autres domaines (réglementation bancaire, agences de notation du crédit, etc.), l’Union européenne a eu tendance à s’orienter vers une centralisation de la régulation au niveau de l’UE. Malgré ces lacunes, le RGPD a offert des outils procéduraux précieux aux organisations à but non lucratif mandatées par des particuliers pour agir (comme La Quadrature du Net qui a engagé des actions contre les géants de la technologie après l’entrée en vigueur du RGPD) pour permettre aux particuliers d’engager plus facilement des actions contre les contrevenants. Une directive européenne sur les actions collectives pour la protection des intérêts collectifs des consommateurs est également en cours d’élaboration.
Du côté des entreprises, il y a eu un manque de compréhension de certaines dispositions clés du RGPD. Comme nous le disent les théoriciens de la compliance, certaines entreprises peuvent être exagérément prudentes et avoir tendance à surjouer la conformité par crainte de sanctions. Le cas des dispositions du RGPD concernant les notifications de violation de données à caractère personnel offre sans doute une illustration : dans ce domaine les entreprises ont eu tendance à pécher plutôt par excès que par défaut et les régulateurs se sont retrouvés surchargés par les notifications inutiles. Le mécanisme du « guichet unique », qui est certes complexe, a également créé des malentendus. Ce mécanisme permet au régulateur du principal établissement dans l’Union européenne d’un groupe non européen de devenir la principale autorité de contrôle dans les procédures impliquant ce groupe. Cette règle pourrait potentiellement conduire les groupes internationaux à pratiquer une sorte de forum-shopping (choix de l’autorité qui leur convient le mieux). Toutefois, ce mécanisme implique que l’établissement principal ait un pouvoir de décision en ce qui concerne le traitement des données auquel la procédure se rapporte. Cette dernière condition empêche en pratique les entreprises de choisir de localiser de façon purement opportuniste des « établissements principaux » dans des pays où ce pouvoir de décision n’existe pas, dans le but de déjouer le risque de contrôle et de sanction par des régulateurs plus stricts pour certains traitements. Le cas de Google est instructif à cet égard : le régulateur français a prononcé à son endroit l’amende la plus importante infligée jusqu’à présent, alors que Google avait fait valoir, sans succès, que la DPA irlandaise était sa principale autorité de contrôle.
Comme nous l’expliquons dans notre article, le fait que les sanctions prévues par le RGPD soient insuffisamment appliquées comporte des risques. Non seulement il réduit l’effet dissuasif du RGPD, mais il fournit également une base peut-être trompeuse pour l’évaluation des risques par les entreprises. Les deux premières années du RGPD correspondaient à une sorte de période de grâce au cours de laquelle les DPA privilégiaient la sensibilisation des entreprises et passaient beaucoup de temps à enquêter sur les plaintes et à régler des problèmes de procédures. Dès lors, certaines entreprises ont pu être tentées de construire des modèles d’évaluation des risques de violation de la réglementation en fonction des sanctions effectivement appliquées. Si la politique de sanction devient plus sévère, ce que les rapports institutionnels de l’UE auraient tendance à laisser présager, les modèles d’évaluation des risques de sanction des entreprises se révèleront inexacts. En outre, une telle approche des risques de non-conformité ignore les avantages potentiels pour les entreprises d’une application de la réglementation en termes de confiance et d’efficacité accrues résultant de l’adoption d’une norme plus élevée en matière de protection des données appliquée aux clients du monde entier.
Nous sommes amenés à conclure que les autorités chargées de la protection des données devraient sanctionner les contrevenants, mais également les sanctionner sévèrement lorsque cela se justifie, en restaurant ainsi l’effet dissuasif nécessaire pour assurer la bonne application de la législation européenne sur la protection des données. En outre, la communication émanant des régulateurs devrait, dans de nombreux cas, être modifiée pour ne plus minimiser les risques de sanctions. Une telle communication est contre-productive par rapport à l’effet souhaité des sanctions. Les entreprises, quant à elles, devraient s’efforcer de comprendre pleinement le RGPD et de s’y conformer, et abandonner les stratégies de forum-shopping visant à tenter d’éluder artificiellement le risque de sanction.
En outre, l’avertissement classique que l’on rappelle en matière financière, selon lequel « les performances passées ne garantissent pas les résultats futurs », est applicable aux entreprises qui seraient tentées de se fonder sur les sanctions passées pour prédire les risques encourus en cas de défaut de conformité.
W. Gregory Voss est professeur associé au département droit des affaires & management des ressources humaines de la TBS Business School.
Hugues Bouthinon-Dumas est professeur associé au département politique public et privé de l’ESSEC Business School.
Cet article a été publié à l’origine sur l’Oxford Business Law Blog (OBLB) que nous remercions d’avoir autorisé la reproduction.