« Cette année, on constate que les régulateurs européens se sont pleinement appropriés l’ampleur des pouvoirs qui leur ont été conférés par la RGPD, n’hésitant pas à appliquer des sanctions financières assez lourdes, La récente décision Shrems II de la CJUE leur met une pression additionnelle en les obligeant à sanctionner les conditions de transferts des données non conformes aux principes édictées par la Cour. Il devient donc plus que jamais fondamental pour les entreprises de documenter les démarches de conformité mises en place pour atténuer ces risques de sanction » explique Denise Lebeau-Marianna, Associée spécialisée en protection des données personnelles à Paris.

Plusieurs chiffres clés sont soulignés dans ce rapport dont ci-après un aperçu :

• 158,5 millions d'euros d'amendes infligées depuis le 28 janvier 2020, soit une augmentation de 39 % par rapport aux 20 mois précédents depuis l'application de la RGPD
• Les amendes et les notifications d'infraction continuent d'afficher une croissance annuelle à deux chiffres pour la deuxième année consécutive avec 121 165 violations notifiées depuis le 28 janvier 2020 contre 101 403 violations notifiées l'année précédente, soit une augmentation de 19 %.Le Danemark, par habitant, est en tête du classement des notifications de violations de données. La France et l'Italie, pays dont la population dépasse respectivement 67 millions et 62 millions d'habitants, n'ont enregistré que 5389 et 3460 notifications de violations de données pour la même période, ce qui illustre les différences culturelles dans l'approche de la notification des violations.
• Le taux quotidien global de notification des violations en Europe a connu une croissance à deux chiffres pour la deuxième année consécutive, avec 331 notifications par jour depuis le 28 janvier 2020, soit une augmentation de 19 % par rapport aux 278 notifications de violations par jour de l'année précédente.
• L'Italie a infligé les amendes globales les plus élevées, la France ayant infligé l'amende individuelle la plus élevée à ce jour avec les 50 millions d'euros infligés à Google par l'autorité française de régulation de la protection des données, pour des infractions présumées au principe de transparence et l'absence de consentement valable.
• Les régulateurs ont montré leur volonté d'utiliser leurs pouvoirs . Ils ont également adopté des interprétations extrêmement strictes de la RGPD, ce qui ouvre la voie à de vives batailles juridiques dans les années à venir.
• Les régulateurs ont toutefois aussi fait preuve d'une certaine indulgence cette année en réponse à la pandémie en cours, plusieurs amendes très médiatisées ayant été réduites en raison de difficultés financières.

«Compte tenu des sommes importantes en jeu avec notamment un risque de développement des actions de groupe (class actions), nous nous attendons à une 'augmentation du nombre de recours et une poursuite des contrôles renforcés de la part des régulateurs.» précise  Jonathan Rofé, Responsable du département IP&T chez DLA Piper en France.