Avertissement : le blog qui suit est assez subjectif.
Lorsqu'il est question des amendes prévues par le GDPR, c'est généralement en raison des chiffres. La communauté juridique dans son ensemble connaît désormais les fameux plafonds de 20 millions d'euros ou de 4 % du chiffre d'affaires annuel fixés par le GDPR.
Mais si l'argent est évidemment un aspect clé des amendes, il existe d'autres aspects importants et intéressants qui passent parfois inaperçus. Voici donc une courte liste d'amendes qui se distinguent d'une manière ou d'une autre. Certaines ont coûté très cher, d'autres se sont contentées d'une tape sur les doigts, d'autres encore ont été carrément stupides, mais toutes contiennent une leçon précieuse d'une manière ou d'une autre.
- Les plus grosses amendes
- L'amende la plus lourde
- L'amende la plus décevante
- L'amende la plus stupide
- La menace imminente
Plongeons dans le vif du sujet !
Les plus grosses amendes
Commençons par l'entrée la plus connue de la liste : L 'amende de 1,2 milliard d'euros infligée par Meta en 2023 pour des transferts de données.
Cette amende record a été infligée à la suite de la décision historique Schrems II. Cette décision est le résultat d'une très longue saga juridique impliquant Facebook (aujourd'hui Meta), Max Schrems, l'organisme irlandais de protection de la vie privée, le Comité européen de protection des données et même la Cour de justice de l'Union européenne.
Amazon arrive en deuxième position avec une amende de 746 millions d'euros pour publicité ciblée.
La motivation n'est pas encore publique en raison de certaines bizarreries de la législation luxembourgeoise. D'ici à ce qu'elle soit rendue publique, il se pourrait qu'elle dise quelque chose que nous savons déjà grâce à des décisions plus récentes sur la monétisation des données, qu'il s'agisse des amendes pour la publicité de Meta (voir ci-dessous) ou de la décision historique du Bundeskartellamt.
L'amende la plus lourde
Meta a écopé de deux autres amendes majeures en 2023 pour des publicités personnalisées sur Facebook et Instagram, pour un total de 390 millions d'euros*.*
Oui, c'était la même année que l'amende de 1,2 milliard d'euros. 2023 n'a pas été tendre avec Meta.
Ces amendes concernaient les bases juridiques de la publicité ciblée de Meta. En d'autres termes, les affaires tournaient autour d'une question centrale : comment Meta justifie-t-elle la collecte et l'analyse de données personnelles pour sa publicité ciblée ?
À l'époque, la réponse de Meta (conformément à sa politique de confidentialité) était que la conservation des données était nécessaire à l'application de ses conditions de service. C'est ce que les spécialistes du GDPR appellent la "base juridique" de la "nécessité contractuelle".
Les défenseurs de la vie privée n'étaient pas satisfaits de cette justification. La justification de la "nécessité contractuelle" permettrait à Meta de justifier n'importe quoi, du moment que c'est mentionné dans les conditions d'utilisation de ses plateformes. Elle a également conduit à la conclusion amusante que Meta avait le droit de nous profiler parce que nous, en tant qu'utilisateurs de ses plates-formes, voulions voir de la publicité ciblée.
Le CPD et le Comité européen de la protection des données se sont rangés du côté des critiques : ils ont estimé que Meta n'avait pas réellement besoin de collecter les données pour exécuter le contrat et que la justification de la nécessité contractuelle ne s'appliquait pas.
(Pour être exact, le CPD n'était pas vraiment disposé à infliger une amende à Meta, mais l'EDPB l'a essentiellement contraint à agir. Il y a eu pas mal de désaccords entre les responsables de l'application des lois dans cette affaire).
Ces décisions sont cruciales, car cette question des "bases juridiques" n'est pas un petit détail de conformité que les équipes juridiques de Meta peuvent régler. L'extraction de données personnelles à des fins de publicité ciblée est difficile à justifier dans le cadre du GDPR, et c'est voulu. Il s'agit d'une caractéristique, pas d'un bogue.
Meta n'est pas la seule entreprise à monétiser les données personnelles. Pensez à TikTok, X et aux innombrables applications "gratuites" sur votre téléphone. C'est pourquoi ces décisions ont eu un impact sur de nombreuses entreprises présentes dans l'UE.
La bataille juridique autour de la monétisation des données n'est pas encore tout à fait terminée. Après les amendes, Meta est passé d'une base juridique à l'autre pour tenter de maintenir son modèle d'entreprise en vie dans le cadre du GDPR. La Cour de justice finira par s'en mêler et clarifiera dans quelles conditions (le cas échéant !) les modèles commerciaux de paiement avec vos données sont autorisés par le GDPR.
L'amende la plus décevante
Les amendes de 390 millions d'euros infligées à Meta sont également celles que je considère comme les plus décevantes, et ce pour deux raisons.
Tout d'abord, le montant des amendes ressemble à une tape sur les doigts pour les violations en question.
L'EDPB a estimé que la publicité personnalisée sur la plateforme sociale de Meta était réalisée à partir de données collectées de manière illégale. La violation a duré des années, a concerné des centaines de millions de citoyens européens et a généré des milliards de revenus pour Meta. Comme si cela ne suffisait pas, onze violations majeures de données ont eu lieu entre les plaintes et la décision.
En d'autres termes : Meta a récolté illégalement nos données pendant des années, en a tiré des milliards et les a divulguées une douzaine de fois en cours de route. Que doit faire de plus une entreprise pour se voir infliger l'amende maximale ?
Deuxièmement, un point crucial des affaires n'a pas été examiné par le CPD.
Les plaintes initiales affirmaient que Meta collectait illégalement des données sensibles. Il s'agit de types particuliers de données qui bénéficient d'une protection renforcée en vertu du GDPR, telles que les convictions politiques, l'état de santé et l'orientation sexuelle. La collecte illégale de ces données est l'une des pires violations auxquelles je puisse penser. Et pourtant, cette question n'a pas été mentionnée dans les décisions du CPD !
Cette omission a été dénoncée non seulement par les défenseurs de la vie privée, mais aussi par d'autres autorités chargées de la protection de la vie privée dans toute l'Union européenne. Aussi importantes que soient les décisions, elles auraient pu l'être bien davantage si les plaintes avaient fait l'objet d'une enquête approfondie.
À ce jour, Meta et d'innombrables autres entreprises prétendent que les données qu'elles utilisent pour le profilage ne sont pas sensibles, ou minimisent systématiquement la quantité de données qualifiées de sensibles. Les décisions du CPD à l'encontre de Meta constituent une occasion manquée de s'attaquer à un problème majeur en matière de protection de la vie privée.
L'amende la plus stupide
À l'instar de Meta, Uber a également écopé d'une lourde amende pour des transferts de données : l'autorité néerlandaise de protection des données lui a infligé une amende de 290 millions d'euros. Mais il y a une différence essentielle : L'amende d'Uber était incroyablement stupide. Pas dans le sens de "mauvaise", bien sûr. Mais plutôt "évitable".
Les multinationales étaient confrontées à une incertitude juridique concernant les transferts de données entre l'UE et les États-Unis entre 2020 (Schrems II) et 2023 (décision d'adéquation des États-Unis). Il s'agissait donc bien d'un problème plus vaste.
Mais Uber a décidé de le gérer de la manière la plus incorrecte qui soit. Au lieu de faire ce que tout le monde faisait à l'époque (= mettre en œuvre des Clauses Contractuelles Types pour les transferts de données), elle s'est appuyée sur une interprétation quelque peu hors norme du GDPR et a transféré des données par le biais d'un mécanisme différent.
Il n'y a qu'un seul problème. L'interprétation du GDPR par Uber contredisait ce que toutes les DPA européennes disaient depuis des années. Or, ce sont les autorités de protection des données qui infligent des amendes aux entreprises en cas de transfert de données.
La vraie question est de savoir pourquoi. Pourquoi Uber a-t-elle fait ce qu'elle voulait (et, comme on pouvait s'y attendre, ce qu'elle ne faisait pas) au lieu de s'en tenir à la norme industrielle de facto ? Quels étaient les avantages de ses stratégies de conformité ?
Je n'ai pas de réponse. Le seul avantage concevable de la stratégie d'Uber est qu'elle a (probablement) épargné du travail au personnel juridique. Mais je m'attendais à ce qu'un géant valant plus de cent milliards de dollars ne prenne pas de raccourcis.
La menace imminente
Au fil des ans, Clearview AI s'est vu infliger des amendes par les autorités italiennes, grecques et néerlandaises pour collecte illégale de données personnelles. À ce jour, les amendes s'élèvent à 110 millions d'euros.
ClearviewAI est une société qui propose une technologie de reconnaissance faciale aux agences gouvernementales et aux forces de l'ordre en dehors de l'UE. L'entreprise forme ses produits principalement à partir d'images récupérées sur le web.
Jusqu'à présent, tout va bien. Mais le problème est le suivant**:** c'est par leraclage à grande échelle et non consensuel du web que les grandes entreprises technologiques collectent les données nécessaires à l'apprentissage de l'IA générative.
Ce n'est pas une coïncidence si Open AI fait l'objet d'une enquête en Italie et d'un examen minutieux dans l'ensemble de l'UE. En fait, toute cette affaire a attiré l'attention des médias l'année dernière lorsque la DPA italienne a fermé ChatGPT pendant un mois.
Les développeurs de systèmes d'IA générative suivent en grande partie le même schéma : ils accumulent toutes les données qu'ils peuvent et prétendent qu'ils peuvent les assainir en excluant les données sensibles ou dangereuses de l'ensemble des données. À ce jour, il n'existe aucune preuve convaincante qu'un tel assainissement est possible, et encore moins sur des bases de données aussi vastes que l'internet.
Il est difficile de dire comment les choses vont évoluer en ce qui concerne le scraping. Les autorités chargées de la protection des données sont certainement plus enclines à avoir une conversation constructive avec OpenAI qu'avec des monstres de la surveillance comme Clearview AI. Mais les développements les plus récents ne sont pas prometteurs.
Un récent document de l'EDPB sur l'affaire OpenAI laisse entrevoir une position quelque peu stricte de la part des autorités de protection des données. En outre, Meta a récemment fait marche arrière sur certaines de ses politiques en matière d'IA après avoir consulté l'autorité irlandaise de protection des données et demande désormais le consentement des utilisateurs de l'UE avant d'entraîner son IA sur leurs données.
En lisant entre les lignes, l'autorité irlandaise de protection des données pourrait considérer le consentement explic ite comme une exigence non négociable pour l'apprentissage de l'IA sur des données à caractère personnel. Mais il est pratiquement impossible pour les entreprises qui n'ont aucune relation directe avec les personnes dont les données sont collectées (comme OpenAI ou Anthropic) de s'appuyer sur le consentement. En fait, la confiance dans le consentement pourrait même être délicate pour Meta, en fonction de la façon dont les choses se déroulent en ce qui concerne le paiement ou le contrôle.
En définitive, le problème du scraping de données n'est pas encore résolu et pourrait bien compromettre l'avenir de l'IA générative sur le marché de l'UE.
Chez Simple Analytics, nous croyons en un web ouvert et respectueux de la vie privée. C'est pourquoi nous avons conçu notre logiciel d'analyse web de manière à ne collecter aucune donnée personnelle tout en vous fournissant toutes les informations dont vous avez besoin pour développer votre présence en ligne. Notre logiciel est respectueux de la vie privée, facile à apprendre et doté d'un assistant IA innovant.
Si cela vous convient, n'hésitez pas à essayer Simple Analytics avec notre version d'essai gratuite et complète !