Violation de données personnelles : Meta cumule les amendes

L’autorité néerlandaise de protection des données personnelles (AP) a déclaré, lundi 26 août, avoir infligé une amende de 290 millions d’euros au géant des VTC Uber pour non-respect du Règlement général sur la protection des données (RGPD). L'entreprise aurait en effet transféré des données personnelles insuffisamment protégées de ses chauffeurs européens, dont des données de localisation, des documents d'identité, des détails de paiement, et dans certain cas des données médicales, vers son siège à San Francisco. L'AP a ajoute que cette violation grave du RGPD a eu lieu avant 2021, et qu'Uber y a depuis mis fin. L'amende infligée par l'AP représente la plus grosse amende reçue par Uber dans le monde, mais, comme le montre notre infographie, c'est loin d'être la plus grosse amende infligée pour non-respect du RGPD.

En mai 2023, l'autorité irlandaise de protection des données (DPC) avait infligé une amende record de 1,2 milliard d'euros au groupe Meta, qui exploite entre autres les plateformes Facebook, Instagram et WhatsApp. La décision concernait le réseau social Facebook, à qui il était reproché le transfert de données personnelles d'internautes européens aux États-Unis. Cette amende sans précédent dans l'Union européenne dépassait de loin celle prononcée par le Luxembourg contre Amazon pour « non-respect des principes généraux de traitement des données » en 2021 (746 millions d'euros).

Depuis l'adoption du règlement général sur la protection des données (RGPD) il y a cinq ans, Meta a cumulé les amendes. Facebook, Instagram et WhatsApp, services du groupe dirigé par Mark Zuckerberg, ont en effet reçu 4 des 10 plus grosses sanctions prononcées à ce jour. Cumulées, ces amendes représentent un total de plus de 2,2 milliard d'euros.

Le cadre réglementaire du RGPD vise à donner aux utilisateurs un plus grand contrôle sur leurs données personnelles et impose de nouvelles normes à la gestion des données par les entreprise. Pour les contrevenants à ces règles, les sanctions sont souvent lourdes. Le RGPD a été mis en place le 25 mai 2018, en remplacement de la directive européenne sur la protection des données de 1995, et contient 99 articles. En août 2024, le suivi de CMR.Law a recensé près de 2 200 violations individuelles du RGPD depuis sa mise en place, pour un total cumulé de près de 4,6 milliards d'euros d'amendes infligées - bien que les données soient probablement incomplètes puisque toutes les amendes ne sont pas rendues publiques.