GDPR impose jusqu'à présent des amendes
Au terme de l'année 2019, on constate que la dynamique des amendes infligées en raison d'infractions aux RGPD a augmenté. Depuis l'introduction du RGPD en mai 2018, le nombre de notifications de violations de données a massivement augmenté et certaines d'entre elles ont entraîné des amendes considérables.
RGPD Amendes en 2019
En 2019, nous avons enregistré une dynamique nettement plus forte en ce qui concerne les amendes infligées au titre du RGPD.
En janvier 2019, Google s'est vu infliger une amende de 50 millions d'euros par la Commission nationale de l'informatique et des libertés (CNIL) pour avoir enfreint la législation européenne sur la protection des données.
En mars 2019, l'autorité danoise de protection des données a infligé une amende de 1,2 million de couronnes danoises à une société de taxis et l'autorité polonaise de protection des données une amende de 1,5 million de couronnes danoises à une société d'assurances. Autorité de surveillance a infligé une amende de 220.000 euros pour la collecte illégale de données.
En avril, la Commission nationale Autorité de surveillance de Roumanie a infligé une amende de 146.000 USD à Unicredit Bank S.A. pour ne pas avoir pris les mesures techniques et organisationnelles appropriées dans votre société terrestre.
En mai 2019, l'autorité nationale lituanienne de protection des données a infligé une amende à MisterTango UAB. Amende d'un montant de 61 500 EUR.
En juin 2019, l'Espagne a infligé une amende de 250.000 euros à la ligue de football La Liga La France a infligé une amende de 400.000 euros à la société immobilière Sergic pour avoir accédé à ses sites web sans authentification de l'utilisateur.
En juillet 2019, certaines des plus grosses amendes jamais infligées depuis l'introduction de la RGPD a été imposée.
L'autorité britannique de contrôle de la protection des données (ICO) a infligé des amendes de 183,4 millions de livres (230 millions de livres) à British Airways et de 99,2 millions de livres (124 millions de livres) aux hôtels Marriott pour avoir enfreint les règles de protection des données. Ces sanctions étaient les deux plus importantes jamais imposées dans le cadre de la RGPD ont été imposées.
En juillet également, les Pays-Bas ont infligé une amende de 460 000 euros à un hôpital néerlandais pour avoir fait preuve de laxisme dans le contrôle des dossiers médicaux. Par ailleurs, la CNIL française a également infligé une amende de 180 000 euros à la société ACTIVE INSURANCES pour n'avoir pas suffisamment protégé les données des utilisateurs de son site web.
En août 2019, un détaillant polonais a reçu une amende de 645 000 euros pour "garanties organisationnelles et techniques insuffisantes" en raison de la RGPD.
En août également, un conseil scolaire suédois a été sanctionné pour avoir utilisé la reconnaissance faciale pour l'appel des élèves dans les classes.
Amendes RGPD 2018
Quelques mois seulement après l'entrée en vigueur du GDPR, l'autorité portugaise de protection des données Autorité de surveillance ("CNPD") a infligé le 17 juillet 2018 une amende de 400.000 euros à un hôpital pour avoir enfreint le RGPD.
Lorsqu'en octobre 2018, l'autorité autrichienne de protection des données (DPA) a infligé une amende de 4 800 euros à une petite entreprise pour avoir installé illégalement une caméra de vidéosurveillance qui filmait également l'espace public devant l'entreprise, il est apparu pour la première fois que les petites entreprises étaient également concernées.
En novembre 2018, une plateforme de médias sociaux allemande appelée Knuddels.de a reçu une amende de 20 000 euros après qu'une violation a exposé les données personnelles de 330 000 utilisateurs, y compris leurs mots de passe et leurs adresses électroniques. Le faible montant de l'amende était principalement dû à la collaboration coopérative et aux investissements massifs dans la Protection des données par les responsables.
Les amendes RGPD prennent de l'ampleur au troisième trimestre
Le 16 octobre 2019, l'organe commun des autorités allemandes de protection des données, la Conférence sur la protection des données (DSK), a publié le modèle sur lequel elle s'est appuyée pour établir la liste des personnes concernées, conformément à l'article 83 RGPD veut calculer les amendes.
En octobre, il y a aussi eu le premier Amende de plusieurs millions de dollars en Allemagne, lorsque la commissaire berlinoise à la protection des données et à la liberté d'information a annoncé que Deutsche Wohnen AG devait payer une amende de 14,5 millions d'euros pour ne pas avoir mis en place un système de protection des données adéquat. Concept d'effacement pour les données des locataires.
Le 25 octobre, l'autorité espagnole de protection des données a infligé une amende de 35.000 euros à Vodafone Spain pour ne pas avoir respecté les règles de confidentialité. Bases juridiques pour le traitement des données.
Le 31 octobre, les Pays-Bas ont infligé une amende de 900.000 euros à l'assureur néerlandais des employés UWV pour sécurité insuffisante du portail en ligne destiné aux employés.
En octobre 2019, Facebook a accepté de payer l'amende annoncée par l'ICO en juillet 2018 en lien avec les violations de données de Cambridge Analytica en 2015. Étant donné que la mesure a été prise avant RGPD l'amende maximale que l'ICO pouvait imposer était de 500 000 £. Si les infractions avaient été commises après mai 2018, l'amende potentielle aurait pu être beaucoup plus élevée - à savoir jusqu'à 4% du chiffre d'affaires annuel de Facebook.
En novembre, la Commission nationale roumaine des droits de l'homme (CNDH) a décrété une interdiction d'entrée sur le territoire roumain. Autorité de surveillance pour les Traitement de données à caractère personnel, la Commission européenne a infligé des amendes à quatre entreprises :
- 2 500 EUR contre le président royal pour avoir rejeté une demande d'accès à des données à caractère personnel conformément à l'article 15 du GDPR et aux données à caractère personnel divulguées sans le consentement des personnes concernées.
- 80.000 euros contre ING Bank N.V. Bucarest pour ne pas avoir pris les mesures techniques et organisationnelles appropriées pour un système de traitement automatisé des données dans le cadre du traitement des transactions par carte avec 225.525 clients.
- 11.000 euros sont versés à une entreprise de messagerie pour ne pas avoir pris les mesures techniques et organisationnelles appropriées pour éviter la perte et l'accès non autorisé à des données personnelles. données à caractère personnel d'environ 1.100 personnes concernées.
- 2 000 euros contre BNP Paribas Personal Finance S.A. pour ne pas avoir donné suite à une demande d'annulation dans le délai fixé par le GDPR.
En novembre, l'autorité espagnole de protection des données (aepd) a infligé des amendes à un certain nombre d'entreprises :
- 1.500 euros d'amende à Cerrajero Online pour avoir collecté des données personnelles sans base légale suffisante.
- 900 euros Amende à TOTO TECNICOS24H S.L. pour la collecte de données à caractère personnel sans base juridique suffisante.
- 3.000 euros Amende à la Confédération générale du travail pour la divulgation de données personnelles dans un mailing sans Consentement.
- 30 000 euros Amende à nouveau Telefonica SA pour non-respect des principes généraux de traitement des données.
- Xfera Moviles SA s'est vu infliger une amende de 60.000 euros pour ne pas avoir pris les mesures techniques et organisationnelles (TOM) nécessaires pour garantir la sécurité de l'information.
- Corporación radiotelevisión espanola s'est également vu infliger une amende de 60.000 euros pour ne pas avoir pris les mesures techniques et organisationnelles (TOM) nécessaires pour garantir la sécurité de l'information.
L'autorité belge de protection des données (APD) a infligé une amende de 5.000 euros à un conseiller municipal et à un bourgmestre pour avoir envoyé des courriers électoraux sans base juridique suffisante.
En novembre, la CNIL française a infligé à Futura Internationale la deuxième amende la plus élevée, soit 500.000 euros, pour des appels intempestifs, après que plusieurs plaignants ont reçu des appels intempestifs alors qu'ils avaient expliqué directement et par courrier à l'appelant que ce n'était pas leur intention, qu'ils n'avaient pas mis en œuvre les mécanismes de transfert de données appropriés et qu'ils n'avaient pas coopéré avec la CNIL.
En décembre, une série d'amendes et de sanctions ont été infligées, dont une par l'autorité espagnole de protection des données qui a infligé à Ikea Iberica une amende de 10 000 euros pour avoir installé des Cookies sur les appareils mobiles de vos clients sans leur consentement préalable.
Le 3 décembre, l'autorité allemande de protection des données a infligé une amende de 105.000 euros à un hôpital pour plusieurs violations de la RGPD en rapport avec une confusion de patient lors de l'admission du patient. Des déficits structurels techniques et organisationnels dans la gestion des patients de l'hôpital ont ainsi été mis en évidence.
Le 4 décembre, l'autorité roumaine de protection des données a infligé une sanction de 20.000 euros à une compagnie aérienne pour ne pas avoir pris les mesures appropriées afin de s'assurer que toute personne physique travaillant sous son autorité, données à caractère personnel traitées selon leurs instructions conformément au GDPR.
Le 9 décembre, le commissaire fédéral à la protection des données et à la liberté de l'information (BfDI), Ulrich Kelber Amende d'un montant de 9,5 millions d'euros à l'encontre du prestataire de services de télécommunications 1&1 Telecom GmbH (1&1), qui ne protégerait pas suffisamment les données de ses clients.
Décisions tardives
L'autorité irlandaise de contrôle de la protection des données, la Data Protection Commission (DPC), devait annoncer en décembre si WhatsApp avait enfreint la RGPD en n'informant pas assez clairement ses utilisateurs sur la manière dont elle utilise leurs données personnelles. La décision est désormais attendue pour janvier 2020.
En résumé, si l'on regarde les amendes infligées jusqu'à présent après RGPD a connu une certaine dynamique cette année. Avec des milliers de plaintes déposées ces derniers mois, l'année 2020 promet d'être très intéressante en termes d'amendes RGPD.
Vous vous inquiétez de la conformité avec les directives du RGPD ? Il n'est pas trop tard.
Contactez-nous dès aujourd'hui pour savoir comment vous pourrez agir en 2020 dans le respect de la protection des données.
German 
English 
Italian 
French