Avec seulement 60 % des amendes payées à ce jour et des lois sur l’IA à l’horizon, la loi historique de l’UE sur la protection des données a placé la barre plus haut en matière de cybersécurité et a révélé les faiblesses des réglementations devant les tribunaux.
Les grandes entreprises technologiques continuent de s’opposer aux amendes imposées pour des violations présumées de la loi européenne sur la protection des données, ce qui pourrait être un signe avant-coureur des réglementations à venir sur l’IA.
Le règlement général sur la protection des données (RGPD) de l’UE est entré en vigueur il y a huit ans cette semaine. Au cours de ces huit années, les régulateurs européens ont annoncé des amendes estimées à 7,1 milliards d’euros en vertu du RGPD, mais près de 40 %, soit environ 2,8 milliards d’euros, ont déjà été annulées ou font l’objet d’une contestation judiciaire active, selon l’analyse de la société de courtage d’assurance Alliance Risk.
Parmi les amendes déjà annulées, citons une contre Amazon d’un montant de 746 millions d’euros (Luxembourg, mars 2026) et une autre contre OpenAI d’un montant de 15 millions d’euros (Italie, mars 2026). Les sanctions faisant l’objet d’un appel actif comprennent trois amendes contre Meta (1,2 milliard d’euros, 265 millions d’euros et 91 millions d’euros) et une contre TikTok (530 millions d’euros).
Alliance Risk a utilisé CMS Law GDPR Enforcement Tracker comme principale source d’informations sur l’application du RGPD, avec des références croisées avec les données d’application de l’IAPP et les trackers de Kiteworks et UniConsent. Les données sur les annulations proviennent de décisions de justice publiées.
Le RGPD a établi une référence en matière de notification des violations
Selon Alliance Risk, le RGPD a réussi à jeter les bases d’une loi sur la protection des données à l’échelle mondiale, notamment en établissant pour la première fois la norme de notification des violations dans les 72 heures.
Cette règle de notification de trois jours est en vigueur dans six juridictions – UE, Royaume-Uni, Thaïlande, Kenya, Nigeria et Corée du Sud – et a une influence ailleurs. Par exemple, la règle américaine CIRCIA pour les infrastructures critiques, qui doit être publiée ce mois-ci, devrait appliquer la norme des 72 heures.
À titre de comparaison, la HIPAA accorde aux organismes de santé américains un délai de 60 jours pour signaler toute violation. La SEC accorde quatre jours ouvrables aux entreprises publiques, mais seulement après avoir déterminé en interne qu’une violation est « importante », ce qui ajoute son propre délai.
Bien que les réglementations en matière de notification des violations établies par le RGPD aient été un succès, des problèmes subsistent concernant l’application des règles.
« Le cadre présente des faiblesses structurelles que les grandes entreprises ont appris à exploiter devant les tribunaux, et près de 40 % des amendes annoncées en témoignent », selon Alliance Risk.
La loi européenne sur l’IA entrera en vigueur en août et la Commission européenne propose déjà de réformer le RGPD par le biais du Digital Omnibus. « Le cadre est en cours de réécriture alors qu’il est encore en cours de test », conclut Alliance Risk.
Phillips affirme que la mise en conformité avec le RGPD a amélioré la maturité de la sécurité des entreprises en raison de la règle de notification des violations dans les 72 heures, associée à l’obligation d’enregistrer toutes les violations et d’informer les personnes concernées, combinée à la nécessité d’améliorer les contrôles de sécurité encore plus que la menace d’une amende en cas de non-conformité.
« Ce régime de notification des violations a sans doute été le facteur le plus important pour obliger les organisations à mettre en place une réponse appropriée aux incidents, à embaucher des prestataires de services médico-légaux et à commencer à signaler les violations au conseil d’administration », explique Phillips. « Une grande partie de cela ne se produisait tout simplement pas avant 2018, et c’est la partie du RGPD qui a fait le plus de travail. »
Marco Eggerling, LL.M, responsable de la sécurité et de la confiance pour la région EMEA et Asie chez UiPath, fournisseur d’automatisation des processus robotiques, affirme que ce serait une «erreur de lire ces annulations comme des tribunaux autorisant les grandes technologies».
« Dans l’affaire Amazon, le tribunal luxembourgeois a confirmé le fond des violations et a renvoyé l’affaire au régulateur », note Eggerling. « L’amende a été réduite parce que les autorités ont sauté les étapes requises, et non parce que le comportement a été jugé licite. »
Eggerling ajoute : « La leçon pour les régulateurs est de prendre des décisions procédurales à toute épreuve. La leçon pour les entreprises est que les obligations sous-jacentes n’ont pas bougé d’un pouce. »
Même au sein de l’UE, il existe des disparités dans la manière dont les réglementations sont comprises et appliquées, ce qui rend difficile les décisions transfrontalières concernant les données et l’IA.
« De nombreuses organisations tendent vers le « plus petit dénominateur commun » et adhèrent à la gouvernance la plus stricte et à des approches plus conservatrices afin d’éviter la colère des régulateurs », déclare Caroline Carruthers, PDG et fondatrice du cabinet mondial de conseil en données Carruthers and Jackson.
Le Royaume-Uni et l’UE appliquent des réglementations plus strictes que les États-Unis ou la Chine, de sorte que de nombreuses organisations adhèrent à des règles plus strictes partout où elles opèrent.
En raison de leur taille et de leur nature, les organisations « big tech » ont tendance à avoir un appétit accru pour le risque et une volonté de repousser les limites des réglementations – et souvent une relation différente avec le grand public, dont les données constituent le modèle économique. « Ils ont un intérêt direct dans la déréglementation et seront donc naturellement les plus susceptibles de contester l’application de la loi », note Carruthers.
La réglementation des données doit évoluer avec l’avènement de l’IA
Pour la plupart des organisations, l’application du RGPD est parvenue à un point où elle est largement adaptée à son objectif, selon Carruthers.
« Lorsque le RGPD a été introduit pour la première fois, les directives n’étaient pas claires et incohérentes », explique Carruthers. « Cela semblait juridiquement solide, mais de nombreux praticiens des données ont eu du mal à le faire fonctionner. Même aujourd’hui, certaines entreprises nous disent qu’elles sont un peu « paralysées » par le RGPD. Elles ont très peur des données et de la réglementation associée, dans la mesure où elles sont incapables de maximiser – ou même d’exploiter – le pouvoir potentiel des données. «
Cependant, à mesure que la réglementation de l’IA et des données évolue, il devient nécessaire de tenir compte de la manière dont ces outils sont désormais utilisés.
L’inquiétude est que l’histoire puisse se répéter alors que la réglementation cherche à suivre le rythme de l’évolution technologique. « Il existe un risque que les organisations se retrouvent coincées dans un plateau de maturité intermédiaire dans lequel l’innovation est stoppée par des interprétations complexes et incohérentes des réglementations », prévient Carruthers.
