Le RGPD commence à coûter cher aux entreprises qui ne le respectent pas. Depuis l’entrée en vigueur du Règlement général sur la protection des données le 25 mai 2018, le cabinet d’avocats DLA Piper a fait état de 160 921 notifications enregistrées, pour un total de 114 millions d’euros d’amende. Et ce, « pour un large éventail d'infractions au RGPD, pas seulement pour les violations de données », précise le cabinet à l’issue de cette étude incluant les membres de l’Union européenne mais aussi la Norvège, le Lichtenstein et l’Islande.
La France, l'Allemagne et l'Autriche arrivent en tête du classement pour la valeur totale des amendes infligées avec respectivement 51 millions d'euros, 24,5 millions d'euros et 18 millions d'euros. La plus grosse amende, qui représente d’ailleurs quasiment la moitié du total européen en un an et demi, est à mettre au crédit de la Cnil française qui, le 21 janvier 2019, condamnait Google France à verser 50 millions d’euros « pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ».
Il y a clairement un avant, et un après RGPD… Si l’on regarde les données de Data Legal Drive, compilées entre 2017 et 2019, on passe de 5,8 millions d’euros d’amende sur l’année et demie avant l’entrée eu vigueur du Règlement, à 62,4 millions d’euros sur l’année et demie d’après. Une multiplication par dix, et même plus.
Lire aussi : L'annonce de Google sur les cookies plombe Criteo
Que les acteurs de la publicité en ligne et des médias se rassurent, l’Europe et son armée de Cnil n’ont pas l’intention de relâcher leur effort. « Une chose est sûre, affirme dans un communiqué Patrick Van Eecke, associé chez DLA Piper, c’est que nous pouvons nous attendre à voir beaucoup plus d'amendes et d'appels au cours des prochaines années. »
Côté français, la Cnil publiera en mars 2020 le texte définitif fixant les bonnes pratiques du consentement à la publicité ciblée sur internet. Dans ses recommandations publiées à la mi-janvier, on apprenait déjà que la Commission demande que l'interface de recueil du consentement offre la possibilité d'accepter ou de refuser le dépôt de traceurs avec le même degré de simplicité et sans utiliser de « pratiques de design potentiellement trompeuses », comme c’est beaucoup le cas aujourd’hui.
D'après une étude récente et conjointe du MIT, de l’UCL et de l’Aarhus University, se basant sur 10 000 sites britanniques, 88% des modules de recueil du consentement (CMP) ne respectent pas la loi – et ce n’est qu’un aspect du RGPD ! Rappelons que les Cnil européennes ont le pouvoir d’infliger des amendes allant jusqu’à 4% du chiffre d’affaires mondial de l’exercice précédent. Autant dire qu’il va y avoir du travail en 2020.