Depuis que la mise en œuvre du Règlement général sur la protection des données (RGPD) a commencé à se préparer, le potentiel d’amendes pour violation de données a été considéré comme l’un des principaux risques pour les entreprises et les organisations, pouvant atteindre 4 % du chiffre d’affaires mondial ou 20 millions d’euros.

Un rapport de DLA Piper dénombre désormais le volume des amendes infligées en 2021, qui a atteint 1,1 milliard d’euros, en augmentation de 594% par rapport à l’année précédente. Le Luxembourg, l’Irlande et la France sont en tête du classement des amendes individuelles les plus élevées, avec une amende record de 746 millions d’euros infligée par l’autorité luxembourgeoise à Amazon, tandis que l’Irlande a infligé une amende de 225 millions d’euros à WhatsApp et la France une amende de 225 millions d’euros. une amende de 50 millions d’euros à Google.

Même au dernier jour de l’année, la France a sorti de sa poche trois nouvelles amendes, une de 90 millions à Google et une autre de 60 millions, et une à Facebook, également de 60 millions d’euros. Le Portugal a rejoint la liste avec une amende de 1,2 million d’euros à la municipalité de Lisbonne.

130 000 violations de données personnelles signalées

L’organisation souligne la croissance des notifications de violation qui ont augmenté de 8 %, passant de 331 notifications par jour à 356 cette année et plus de 130 000 violations de données personnelles signalées ensemble depuis le 28 janvier 2021.

Compte tenu de la population de chaque pays, les Pays-Bas sont en tête de la liste des notifications de violation de données, avec 151 notifications pour 100 000 habitants. Le Liechtenstein et le Danemark suivent, avec respectivement 136 et 131 notifications de viol pour 100 000 habitants. La Croatie, la Tchéquie et la Grèce ont signalé le plus faible nombre de notifications d’infractions par habitant depuis le 28 janvier 2021.

DLA Piper prévient cependant que le principal défi du respect de la protection des données se trouve dans l’arrêt de la Haute Cour européenne dans l’affaire Data Protection Commissioner contre Facebook Ireland Limited, Maximillian Schrems, en juillet 2020, connu sous le nom de « Schrems II ».

« La multiplication par près de sept des amendes peut faire la une des journaux, mais l’arrêt Schrems II et ses profondes implications pour les transferts de données ont constitué le principal défi de conformité en matière de protection des données pour de nombreuses organisations prises dans le RGPD », déclare Ross. McKean, président du UK Data Protection and Security Group.

Selon les informations partagées, l’arrêt et le chapitre V du RGPD imposent des limites précises au transfert de données personnelles de l’Europe et du Royaume-Uni vers des « pays tiers », les exportateurs de données s’exposant à des ordonnances de suspension, des amendes et des demandes de dommages et intérêts pour non-respect. . ces nouvelles exigences.

L’arrêt exige des organisations qui exportent des données personnelles depuis l’Europe et le Royaume-Uni vers des pays tiers qu’elles réalisent une cartographie complète de ces transferts, ainsi que des évaluations détaillées des risques juridiques et pratiques d’interception par les autorités publiques dans les pays où les importateurs sont situés. , augmentant considérablement la charge de conformité des exportateurs et importateurs de données, indique l’organisation.

Le risque réside dans les amendes et les demandes de dommages et intérêts, mais aussi dans la menace d’interruption de service si les transferts de données sont suspendus, avec de graves implications pour la continuité de l’activité commerciale.

« La menace de suspension des transferts de données est potentiellement beaucoup plus nocive et coûteuse que la menace d’amendes et de demandes de dommages et intérêts. L’accent mis sur les transferts et le travail important requis pour assurer la conformité signifie inévitablement que les organisations ont moins de temps, d’argent et de ressources pour se concentrer sur d’autres risques liés à la confidentialité », explique Ross McKean.

Commentant les résultats de l’étude, Daniel Reis, associé et coordinateur du secteur de la technologie chez DLA Piper au Portugal, déclare que « le Portugal n’a pas suivi le rythme de la plupart des autres pays », mais rappelle que la CNPD a appliqué maintenant, après la publication du rapport, une amende de 1,250 million d’euros à la municipalité de Lisbonne, qui indique que « cela pourrait signifier un changement de cap ».