Le GDPR donne aux autorités de protection des données (DPA) le pouvoir d'imposer une amende administrative pouvant atteindre 4 % du chiffre d'affaires annuel d'une entreprise ou 20 millions d'euros en cas de violation du GDPR, selon le montant le plus élevé.
L'objectif de ces amendes est de dissuader les entreprises de commettre des infractions similaires à l'avenir. Bien qu'une étude du noyb ait montré qu'elles font partie des outils d'application les plus efficaces à la disposition des autorités, les amendes importantes pour les violations du GDPR sont extrêmement rares. Les amendes vont au pays où la procédure a lieu, qui est presque toujours le pays où l'entreprise sanctionnée a son siège.
Depuis 2018, les amendes suivantes ont été imposées sur la base de plaintes déposées par le noyb :
meta condamné à une amende de 1,2 milliard d'euros pour des transferts de données entre l'UE et les États-Unis
À la fin de l'année 2023, Meta a été condamnée à une amende de 1,2 milliard d'euros et à cesser de transférer des données personnelles d'Européens vers les États-Unis. L'entreprise est soumise aux lois de surveillance américaines telles que la FISA 702, qui permet au gouvernement américain d'espionner des citoyens non américains sans motif valable ni autorisation judiciaire.
Cette loi est en contradiction avec la législation européenne, qui exige une protection "essentiellement équivalente" pour les données transférées en dehors de l'Union européenne. Les entreprises américaines comme Meta ne peuvent pas satisfaire à cette exigence. Cela a également été confirmé par la décision de la Cour européenne de justice d'annuler les accords "Safe Harbor" et "Privacy Shield" dans ses arrêts Schrems I et Schrems II, respectivement en 2015 et 2020.
Meta a ignoré ces arrêts au cours des dernières années, ce qui lui a valu une amende de 1,2 milliard d'euros et une injonction de renvoyer toutes les données personnelles dans ses centres de données de l'UE.
Meta condamné à une amende de 395 millions d'euros et à l'interdiction d'utiliser des données personnelles à des fins publicitaires
À la suite d'une décision contraignante du Comité européen de protection des données, l'autorité irlandaise de protection des données (DPC) a infligé à Meta une amende totale de 395 millions d'euros pour des violations commises sur Facebook, Instagram et WhatsApp en janvier 2023. En outre, le géant des médias sociaux s'est vu interdire d'utiliser des données personnelles à des fins publicitaires sans demander le consentement de ses utilisateurs.
La décision fait suite à deux plaintes déposées par noyb au nom d'un utilisateur autrichien et d'un utilisateur belge le 25 mai 2018, ce qui signifie qu'il a fallu quatre ans et demi à l'autorité compétente (le CPD) pour parvenir à une décision après que l'EDPB a annulé son premier projet de décision en décembre 2022.
Google condamné à une amende de 50 millions d'euros pour consentement forcé
Lorsque le GDPR est entré en vigueur le 25 juillet 2018, noyb a déposé des plaintes contre Google, Instagram, WhatsApp et Facebook pour avoir forcé ses utilisateurs à accepter des politiques de confidentialité mises à jour qui leur permettaient de contourner la nouvelle loi sur la protection de la vie privée.
Alors que trois de ces plaintes se sont embarquées dans un voyage d'un an plein de non-conformité, l'affaire contre Google a été résolue en juin 2019 : l'autorité française de protection des données (CNIL) a condamné l'entreprise technologique à une amende de 50 millions d'euros, ce qui, à l'époque, était l'amende la plus élevée jamais infligée pour une violation de la vie privée.
La société de publicité CRITEO condamnée à une amende de 40 millions d'euros
Fin juin 2023, la Commission nationale de l'informatique et des libertés (CNIL) a condamné CRITEO, l'une des principales sociétés européennes de publicité en ligne et de traçage, à une amende de 40 millions d'euros pour avoir violé les droits des personnes concernées et n'avoir pas prouvé qu'elle avait obtenu un consentement valable.
La décision fait suite à une plainte déposée par noyb et Privacy International en décembre 2018, qui ciblait l'absence d'une option adéquate pour retirer le consentement. La plainte a déclenché une enquête approfondie de la CNIL, qui a élargi le champ d'application à d'autres domaines et a constaté des violations supplémentaires du GDPR, notamment un manque de transparence et un non-respect du droit à l'effacement et du droit d'accès.
L'application de rencontres Grindr condamnée à une amende de 5,8 millions d'euros
En 2020, noyb s'est associé au Conseil norvégien des consommateurs (NCC) pour déposer une plainte contre l'application de rencontres LGBTQ+ Grindr pour avoir illégalement partagé des données personnelles d'utilisateurs avec des centaines de partenaires publicitaires potentiels. Les utilisateurs n'ont pas été correctement informés et le consentement n'était pas suffisamment précis : Les utilisateurs devaient accepter l'ensemble de la politique de confidentialité et non une opération de traitement spécifique, telle que le partage des données avec d'autres entreprises. La DPA a également souligné que les utilisateurs doivent pouvoir refuser leur consentement sans conséquences négatives.
La décision de l'autorité norvégienne imposait initialement une amende de près de 10 millions d'euros à Grindr. À la suite d'un recours, l'amende a été ramenée à un montant final de 5,8 millions d'euros en septembre 2023.
Spotify condamné à une amende de 5 millions d'euros
À la suite d'une plainte du noyb et d'un litige pour inaction, l'autorité suédoise de protection des données (IMY) a infligé à Spotify une amende de 58 millions de couronnes suédoises (environ 5 millions d'euros) en juin 2023. Le service de streaming musical n'a pas pleinement respecté l'obligation du GDPR de donner aux utilisateurs l'accès à toutes leurs données, ainsi que des informations sur l'utilisation qui en est faite. La plainte avait déjà été déposée en 2019, et il a fallu attendre plus de quatre ans pour qu'une décision soit prise.
Première amende importante pour l'utilisation de Google Analytics
À la suite des 101 plaintes déposées par noyb sur les transferts illégaux de données entre l'UE et les États-Unis à partir de 2020, l'autorité suédoise de protection des données (IMY) a infligé la première amende importante pour l'utilisation de Google Analytics en juillet 2023. Bien que de nombreuses autres autorités européennes (telles que l'Autriche, la France et l'Italie) aient déjà constaté que l'utilisation de Google Analytics constituait une violation du GDPR, il s'agit de la première amende imposée à des entreprises pour l'utilisation de Google Analytics, malgré les arrêts de la CJUE sur les transferts de données entre l'UE et les États-Unis.
L'opérateur de télécommunications Tele2 a été condamné à payer l'équivalent d'un million d'euros (12 millions de couronnes suédoises), tandis que le détaillant en ligne CDON a dû s'acquitter de 300 000 couronnes suédoises.
Une société informatique maltaise condamnée à une amende de 65 000 euros à la suite d'une fuite de données
À la suite d'une fuite massive de données concernant les électeurs maltais en 2020, noyb a coopéré avec la Fondation Daphne et Repubblika pour porter plainte contre le courtier en données C-Planet. Les informations personnelles divulguées comprenaient les numéros de téléphone, les dates de naissance, les intentions de vote et les tendances politiques de plus de 330 000 personnes.
En 2022, le commissaire à l'information et à la protection des données (IDPC) a conclu que C-Planet n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées au risque et a condamné l'entreprise informatique à une amende de 65 000 euros. La décision a également confirmé que C-Planet n'avait pas notifié la violation de données à l'IDPC et n'avait pas informé les personnes concernées en temps voulu.