Au cours des sept premiers mois de l’année 2023, les grandes entreprises technologiques (les « Big Tech ») ont été condamnées à payer près de 2,34 milliards de dollars en amendes pour non-respect de la vie privée et abus de leur position de monopole. Depuis que l’Union européenne a introduit le RGPD en 2018, ces entreprises ont été condamnées à payer plus de 7 milliards de dollars.
Les montants sont considérables, mais ils ne semblent pas avoir eu d’effet significatif sur le comportement des géants de la tech. En effet, même si ces amendes sont élevées, elles ne sont qu’un désagrément pour ces entreprises.
Il semble que Google, Facebook et d’autres considèrent ces amendes comme le prix à payer pour prospérer et que ces entreprises continueront à payer ces montants astronomiques tant que cela leur permettra d’abuser de vos données et d’écraser les autres modèles économiques.
Pour vraiment défendre notre vie privée et faire d’internet un espace de concurrence équitable, nous avons besoin de réglementations musclées, avec des amendes bien plus sévères.
Les liquidités des géants de la tech éclipsent leurs amendes
On peut avoir du mal à croire qu’une entreprise se moque de payer plus d’un milliard de dollars, mais cela se comprend facilement quand on voit le montant des liquidités dont disposent ces entreprises.
Les liquidités correspondent à la trésorerie d’une entreprise après qu’elle a payé tous ses coûts. Il s’agit essentiellement d’une mesure de l’argent disponible dont dispose une entreprise (ou qu’elle peut facilement obtenir en vendant des actifs en espèces) à un moment donné.
| Entreprise | Liquidités |
|---|---|
| Apple(new window) | 55,87 milliards de dollars (au 01/04/2023) |
| Alphabet(new window) (Google) | 118,33 milliards de dollars (au 30/06/2023) |
| Meta(new window) (Facebook) | 37,44 milliards de dollars (au 26/04/ 2023) |
| Amazon(new window) | 64,40 milliards de dollars (au 27/04/2023) |
| Microsoft(new window) | 111,26 milliards de dollars (au 30/06/2023) |
À titre de comparaison, voici l’amende la plus élevée que chacune de ces entreprises a reçue depuis 2018 :
| Entreprise | Amende la plus élevée au cours des cinq dernières années | Date |
|---|---|---|
| Apple | 371 millions de dollars (par la CNIL pour pratique anticoncurrentielle(new window)) | Amende initiale : 16/03/2020 Amende réduite en appel : 06/10/2022 |
| Alphabet (Google) | 4,13 milliards de dollars (par l’UE pour avoir illégalement lié Chrome et les applications de recherche aux appareils Android(new window)) | Amende initiale : 18/07/2018 Amende réduite en appel : 14/09/2022 |
| Meta (Facebook) | 1,3 milliard de dollars (par l’autorité irlandaise de protection des données pour avoir transféré des données aux États-Unis sans les protéger correctement(new window)) | Amende : 22/05/2023 |
| Amazon | 886 millions de dollars (par l’autorité luxembourgeoise de protection des données pour ne pas avoir respecté la législation européenne lors du traitement des données des utilisateurs(new window)) | Amende : 30/07/2021 |
| Microsoft | 64 millions de dollars (par la CNIL sur les cookies de (new window)Bing(new window)) | Amende : 22/12/2022 |
Deux choses méritent d’être soulignées ici. Tout d’abord, les amendes les plus élevées proviennent toutes de l’Union européenne qui dispose de politiques agressives de lutte contre les monopoles. Par ailleurs, le RGPD fournit un cadre pour les amendes infligées aux entreprises qui portent atteinte au respect de la vie privée de leurs utilisateurs. Ensuite, aucune de ces amendes n’a perturbé ces entreprises.
Alphabet, la société mère de Google, a reçu l’amende la plus élevée, mais elle pourrait la payer 28 fois avant d’être à court de liquidités. Microsoft pourrait payer sa plus grosse amende 1 738 fois avant d’épuiser ses liquidités.
Les géants de la tech peuvent payer la plupart des amendes avec les bénéfices d’une journée
Les liquidités peuvent être trompeuses : elles peuvent augmenter si l’entreprise a récemment vendu un actif ou diminuer si elle investit massivement dans la recherche et le développement ou dans l’infrastructure. Ce n’est pas le cas de la plupart des grandes entreprises technologiques. Depuis des années, elles disposent régulièrement d’importantes réserves de liquidités.
Le chiffre d’affaires est néanmoins une représentation plus précise de la taille et de la rentabilité d’une entreprise. On peut aussi voir combien de temps il faudrait à chacune de ces entreprises pour gagner suffisamment d’argent afin de payer l’une de ces amendes.
| Entreprise | Chiffre d’affaires annuel |
|---|---|
| Apple(new window) | 394,33 milliards de dollars (communiqué le 24/09/2022) |
| Alphabet(new window) (société mère de Google) | 282,84 milliards de dollars (communiqué le 31/12/2022) |
| Meta(new window) (Facebook) | 116,61 milliards de dollars (communiqué le 31/12/2022) |
| Amazon(new window) | 513,98 milliards de dollars (constatés le 31/12/2022) |
| Microsoft(new window) | 198,27 milliards de dollars (communiqué le 30/06/2022) |
Ces chiffres sont tellement élevés qu’ils sont difficiles à cerner. Il est peut-être plus facile de les comparer au temps qu’il faut à une entreprise pour générer suffisamment de revenus afin de payer une amende d’un milliard de dollars.
| Recettes réalisées par heure (sur base des chiffres 2022) | Temps nécessaire pour gagner 1 milliard de dollars (sur base des chiffres 2022) | |
|---|---|---|
| Apple | 45,01 millions de dollars | 22 heures |
| Alphabet (société mère de Google) | 32,29 millions de dollars | 1 jour et 7 heures |
| Meta (Facebook) | 13,31 millions de dollars | 3 jours et 3 heures |
| Amazon | 58,67 millions de dollars | 17 heures |
| Microsoft | 22,63 millions de dollars | 1 jour et 20 heures |
Comme le montre ce tableau, les grandes entreprises technologiques négligeront toute amende inférieure à 1 milliard de dollars. Apple a d’ailleurs probablement réalisé assez de recettes pour compenser sa récente amende de 8 millions de dollars(new window) en moins de temps qu’il ne faut pour finir de lire le verdict.
En moins d’une semaine (six jours et cinq heures), les revenus cumulés des géants de la tech sont suffisants pour payer toutes leurs amendes 2023 (2,34 milliards de dollars).
Les amendes sévères exigent une volonté politique
Si les amendes doivent rappeler aux entreprises qu’elles doivent changer leurs pratiques, elles doivent être suffisamment lourdes pour attirer leur attention. Nous savons que les internautes veulent que ces entreprises arrêtent de collecter leurs données à leur insu ou sans leur consentement et qu’elles n’utilisent plus leur position dominante sur le marché pour évincer leurs concurrents. Les gouvernements tentent de faire passer ce message, mais il ne parvient pas à s’imposer parce que les amendes sont inoffensives.
Ce n’est pas une surprise, le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial. Voici le montant maximum des amendes auxquelles les grandes entreprises technologiques pourraient être confrontées dans le cadre du RGPD :
| Entreprise | Amende la plus élevée autorisée par le RGPD (sur base du chiffre d’affaires 2022) |
|---|---|
| Apple | 15,77 milliards de dollars |
| Alphabet (société mère de Google) | 11,31 milliards de dollars |
| Meta (Facebook) | 4,66 milliards de dollars |
| Amazon | 20,56 milliards de dollars |
| Microsoft | 7,93 milliards de dollars |
Ces chiffres pourraient attirer l’attention des géants de la tech, mais tout dépend des autorités de protection des données (APD) et de leur volonté d’infliger des amendes élevées. Il n’en a jamais été question pour diverses raisons, comme la complexité de ces affaires, les armées d’avocats dont disposent les grandes entreprises technologiques pour compliquer et retarder les procédures et la volonté de certains pays de garder leur réputation de pays accueillant pour les entreprises.
Les autorités nationales de protection des données ont des intérêts contradictoires. Elles sont chargées de protéger le droit à la vie privée de leurs citoyens, mais en adoptant des interprétations du RGPD qui favorisent les entreprises et le laisser-faire, leur pays d’origine peut attirer les sièges des géants de la tech ainsi que les milliards de dollars d’investissements et d’emplois qui vont avec.
De nombreuses grandes entreprises technologiques comme Meta et Apple ont par exemple choisi l’Irlande pour installer leur siège européen en raison de son régime fiscal favorable. L’autorité de protection des données irlandaise a donc une influence considérable sur la réglementation et les sanctions à l’encontre de ces entreprises. Alors que l’autorité de protection des données irlandaise a bien infligé l’une des plus grosses amendes liées au RGPD à Meta (1,3 milliard de dollars), elle ne l’a fait qu’après 10 ans de procédures judiciaires engagées par des défenseurs de la vie privée, comme l’organisation NOYB(new window).
Le fondateur de NOYB, Max Schrems, a ensuite commenté l’affaire :(new window) « L’autorité de régulation irlandaise a tout fait pour éviter cette décision, mais elle a toujours été déboutée par les tribunaux et les institutions européennes. Il est plutôt absurde que cette amende record revienne à l’Irlande, l’État membre de l’Union européenne qui a tout fait pour l’éviter ».
Qui est responsable ? Les grandes entreprises technologiques ou les gouvernements élus ?
L’Union européenne a remarqué que les autorités de protection des données de l’Irlande et du Luxembourg (des pays qui, comme par hasard, accueillent le siège de nombreuses grandes et riches entreprises technologiques) sont devenues des goulots d’étranglement, ralentissant et affaiblissant les enquêtes menées dans le cadre du RGPD. Pour s’assurer que les autorités de protection des données prennent au sérieux leur mission de protection de la vie privée, la Commission européenne, l’organe exécutif de l’Union européenne, prend des mesures.
À partir de janvier 2023, la Commission a renforcé sa surveillance(new window) des autorités de protection des données, exigeant désormais des mises à jour tous les deux mois sur les enquêtes de chaque autorité de protection des données. Si les autorités de protection des données ne se conforment pas aux directives de la Commission, elles pourraient être traduites devant la Cour de justice européenne.
Ce combat est important parce que les grandes entreprises technologiques décident pour le moment de la quantité de vos données qu’elles collectent et de l’usage qu’elles en font. Si nous voulons un internet qui respecte notre vie privée, la manière la plus rapide d’y parvenir est de convaincre les géants de la tech que l’utilisation abusive des données n’est pas seulement répréhensible, mais qu’elle n’est pas non plus rentable. Les bénéfices des grandes entreprises technologiques éclipsent les pénalités qu’elles doivent payer. Pourquoi une entreprise mettrait-elle en péril des milliards de recettes pour éviter de payer une amende qu’elle peut payer avec ce qu’elle gagne en une journée ?
Il semble que l’approche actuelle de géants de la tech vis-à-vis de ces amendes consiste à les considérer comme des autorisations à payer pour continuer à abuser des données des internautes, leurs armées d’avocats étant manifestement bien plus occupées à éviter et à retarder l’application du RGPD plutôt qu’à s’y conformer. L’Union européenne et les autorités chargées de la protection des données semblent reconnaître qu’elles doivent intensifier leur approche pour faire respecter les règles. Nous espérons que cela incitera d’autres pays, dont les États-Unis, à commencer à prendre ce problème au sérieux.
Mais les régulateurs ne sont pas les seuls responsables de cette situation. Nous pouvons aussi agir en tant que citoyens. En attendant que de lourdes amendes attirent enfin l’attention des grandes entreprises technologiques, il y a une chose à laquelle ces entreprises prêtent toujours attention : le nombre d’utilisateurs. La seule chose qui pourrait pousser les géants de la tech à reconsidérer leur modèle économique serait de voir des dizaines ou des centaines de millions de personnes quitter leur service pour des solutions plus respectueuses de la vie privée.
En attendant, ces entreprises continueront d’essayer de monétiser autant de données qu’elles le peuvent, heureuses de payer les petites amendes qu’elles recevront. Notez que dans le laps de temps nécessaire à la lecture de cet article, Alphabet, Amazon, Apple, Meta et Microsoft ont gagné environ 28,65 millions de dollars.
Amendes 2023 (à date)
| Entreprise | Amende | Temps nécessaire pour payer |
|---|---|---|
| Alphabet (Google) | 160 000 000 $ (pour position dominante d’Android sur le marché indien(new window)) | 5 heures |
| Apple | 8 000 000 $ (par l’autorité de protection des données française pour atteinte à la vie privée(new window)) | 11 minutes |
| Apple | 17 000 000 $ (pour activité dominante sur le marché russe(new window)) | 23 minutes |
| Meta (Facebook) | 5 950 000 $ (par l’autorité de protection des données irlandaise pour fuites de données(new window)) | 27 minutes |
| Microsoft | 64 000 000 $ (par l’autorité française de protection des données pour l’utilisation de cookies par Bing(new window)) | 2,5 heures |
| Meta (Facebook) | 414 000 000 $ (par l’autorité de protection des données irlandaise pour Meta et Instagram ayant enfreint le RGPD(new window)) | 1,5 jour |
| Alphabet (Google) | 32 000 000 $ (par la Corée du Sud pour avoir bloqué des jeux vidéo sur des applications concurrentes(new window)) | 1 heure |
| Amazon | 30 000 000 $ (par la FTC pour fuites de données et de confidentialité liées à Ring et Alexa(new window)). | 30 minutes |
| Meta (Facebook) | 1 300 000 000 $ (par l’autorité de protection des données irlandaise pour transfert de données à caractère personnel vers les États-Unis(new window)) | 4 days |
| Alphabet (Google) | 47 000 000 $ (pour activité anticoncurrentielle sur le marché de l’hébergement vidéo en Russie(new window)) | 87 minutes |
| Microsoft | 20 000 000 $ (par la FTC pour violations de la loi sur la protection de la vie privée des enfants en ligne(new window)) | 53 minutes |
| Amazon | 25 000 000 $ (par la FTC pour violations de la loi sur la protection de la vie privée des enfants en ligne(new window)) | 26 minutes |
| Alphabet (Google) | 2 000 000 $ (par la France pour manquement à l’obligation de fournir des critères de classement sur la recherche Google et le Play Store(new window)) | 4 minutes |
| Apple | 161 400 000 $ (par l’Espagne pour avoir fixé les prix des produits Apple sur Amazon(new window)) | 3,5 heures |
| Amazon | 56 700 000 $ (par l’Espagne pour avoir fixé les prix des produits Apple sur Amazon(new window)) | 58 minutes |
| Temps nécessaire pour payer | 2 343 050 000 $ | 6 jours et 5 heures |
—
Traduit et adapté par Elodie Mévil-Blanche.
