En 2024, pour la première fois, le total des amendes infligées au titre du Règlement général sur la protection des données (RGPD) a diminué de 33%. Les autorités nationales ont infligé un total de 1,2 milliard d'euros, d'après la septième édition annuelle de l'enquête menée par le cabinet d'avocats DLA Piper sur les amendes et les violations de données, publiée le 21 janvier 2025.
"Les chiffres clés de l’enquête de cette année n’ont, pour la première fois, battu aucun record", a réagi John Magee, associé et président du département Données, confidentialité et cybersécurité au sein de DLA Piper.
La DPC en tête
Cette baisse ne doit pas être analysée comme une tendance sur le long terme. En effet, contrairement à 2023, année marquée par l'amende record de 1,2 milliard contre Meta, aucune amende record n'a été infligée en 2024, note le cabinet d'avocats. Grâce à cette amende, c'est la Data Protection Commission (DPC), l'autorité irlandaise, qui prend la tête du classement.
Le total des amendes depuis l'application du RGPD en 2018 s'élève désormais à 5,88 milliards d'euros. C'est la DPC qui a infligé le montant total le plus important. Le Luxembourg se place en deuxième position avec un total de 746,38 millions d'euros issu de l'amende infligée à Amazon en juillet 2021.
Le principe du guichet unique contesté
Centre névralgique de la régulation des grandes entreprises technologiques, l'Irlande a souvent été critiquée pour sa passivité. En effet, en vertu du principe du guichet unique, l'autorité de protection des données du pays où se situe l'établissement principal d'une société est l'interlocutrice privilégiée pour déposer une plainte ou mener des actions répressives. Il s'agit de l'autorité dite "cheffe de file". La majorité des sièges sociaux européens des grandes entreprises technologiques est située à Dublin.
"La Commission irlandaise de protection des données a continué de jouer un rôle central dans l’élaboration des interprétations du RGPD cette année, notamment avec des décisions clés et des amendes sur des questions allant de la transparence et du transfert de données à la sécurité des informations et à la vie privée des enfants", a déclaré John Magee.
Les big tech, les principales cibles
À l'origine, le but du guichet unique était d'harmoniser, au niveau européen, les décisions des autorités. Or, il concentre les principales critiques sur la mise en œuvre du RGPD, d'autant plus que les principales cibles des amendes sont "les réseaux sociaux et les entreprises technologiques", rapporte DLA Piper. "Chacune des dix amendes les plus élevées infligées depuis le 25 mai 2018 a été imposée aux entreprises de ce secteur", précise-t-il.
En juillet 2023, la Commission européenne a proposé de nouvelles règles pour renforcer l'application du RGPD dans les situations de litiges transfrontaliers. Elle introduit notamment l'obligation pour l'autorité chef de file d'envoyer "un résumé des points essentiels" à ses homologues, contenant les principaux éléments visés par l'enquête ainsi que son avis sur le dossier. Cette proposition a pour objectif de réduire les désaccords et de faciliter le consensus entre les autorités dès les premières étapes du processus.
La commission sur la Justice du parlement irlandais, l'Oireachtas, dirigée par James Lawless, a envoyé ses conclusions sur la proposition de règlement de Bruxelles. Elle craignait principalement que cette réforme ne provoque un affaiblissement de l'application du RGPD et ne compromette les droits fondamentaux des requérants.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
