ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Protection des données Pénalités

Amendes RGPD
Catégories :

Le GDPR impose jusqu'à présent des amendes

Au terme de l'année 2019, force est de constater que la dynamique des amendes infligées en raison de violations du RGPD s'est accrue. Depuis l'introduction du RGPD en mai 2018, le nombre de notifications de violations de données a augmenté massivement et certaines d'entre elles ont entraîné des amendes considérables.

 

Amendes RGPD en 2019

 

En 2019, nous avons enregistré une dynamique nettement plus forte en ce qui concerne les amendes infligées au titre du RGPD.

En janvier 2019, Google s'est vu infliger une amende de 50 millions d'euros par la Commission nationale de l'informatique et des libertés (CNIL) pour avoir enfreint la législation européenne sur la protection des données.

En mars 2019, l'autorité danoise de protection des données a infligé une amende de 1,2 million de couronnes danoises à une société de taxis et l'autorité polonaise de contrôle a imposé une amende de 220 000 euros pour collecte illégale de données.

En avril, l'autorité nationale de surveillance de Roumanie a infligé une amende de 146 000 USD à Unicredit Bank S.A. pour ne pas avoir pris les mesures techniques et organisationnelles appropriées dans sa société terrestre.

En mai 2019, l'autorité nationale lituanienne de protection des données a infligé une amende de 61 500 euros à MisterTango UAB.

En juin 2019, l'Espagne a infligé une amende de 250.000 euros à la ligue de football La Liga La France a infligé une amende de 400.000 euros à la société immobilière Sergic pour avoir accédé à ses sites web sans authentification de l'utilisateur.

En juillet 2019, certaines des amendes les plus importantes à ce jour depuis l'introduction du RGPD ont été infligées. 

L'autorité britannique de contrôle de la protection des données (ICO) a infligé des amendes de 183,4 millions de livres (230 millions de livres) à British Airways et de 99,2 millions de livres (124 millions de livres) aux hôtels Marriott pour non-respect des règles de protection des données. Ces sanctions étaient les deux plus importantes imposées jusqu'à présent dans le cadre du RGPD.

En juillet également, les Pays-Bas ont infligé une amende de 460 000 euros à un hôpital néerlandais pour avoir fait preuve de laxisme dans le contrôle des dossiers médicaux. Par ailleurs, la CNIL française a également infligé une amende de 180 000 euros à la société ACTIVE INSURANCES pour n'avoir pas suffisamment protégé les données des utilisateurs de son site web.

En août 2019, un détaillant polonais a reçu une amende de 645 000 euros pour "garanties organisationnelles et techniques insuffisantes" en raison du RGPD.

En août également, un conseil scolaire suédois a été sanctionné pour avoir utilisé la reconnaissance faciale pour l'appel des élèves dans les classes.

 

Amendes RGPD 2018

 

Quelques mois seulement après l'entrée en vigueur du GDPR, l'autorité de contrôle portugaise ("CNPD") a infligé le 17 juillet 2018 une amende de 400 000 euros à un hôpital pour violation du RGPD.

Lorsqu'en octobre 2018, l'autorité autrichienne de protection des données (DPA) a infligé une amende de 4 800 euros à une petite entreprise pour avoir installé illégalement une caméra de vidéosurveillance qui filmait également l'espace public devant l'entreprise, il est apparu pour la première fois que les petites entreprises étaient également concernées.

En novembre 2018, une plateforme de médias sociaux allemande appelée Knuddels.de a reçu une amende de 20 000 euros après qu'une violation a exposé les données personnelles de 330 000 utilisateurs, y compris leurs mots de passe et leurs adresses électroniques. Le faible montant de l'amende était principalement dû à la coopération et aux investissements massifs dans la protection des données par les responsables.

 

Les amendes RGPD prennent de l'ampleur au troisième trimestre

 

Le 16 octobre 2019, l'organe commun des autorités allemandes de protection des données, la Datenschutzkonferenz (DSK), a publié le modèle selon lequel elle entend calculer les amendes conformément à l'article 83 du RGPD.

Le mois d'octobre a également vu la première amende de plusieurs millions de dollars en Allemagne, lorsque la commissaire berlinoise à la protection des données et à la liberté d'information a annoncé que Deutsche Wohnen AG devait payer une amende de 14,5 millions d'euros pour ne pas avoir pu prouver l'existence d'un concept de suppression adéquat pour les données des locataires.

Le 25 octobre, l'autorité espagnole de protection des données a infligé une amende de 35.000 euros à Vodafone Spain pour base juridique insuffisante en matière de traitement des données.

Le 31 octobre, les Pays-Bas ont infligé une amende de 900.000 euros à l'assureur néerlandais des employés UWV pour sécurité insuffisante du portail en ligne destiné aux employés.

En octobre 2019, Facebook a accepté de payer l'amende annoncée par l'ICO en juillet 2018 dans le cadre des violations de la vie privée commises par Cambridge Analytica en 2015. La mesure ayant été fixée avant l'introduction du RGPD, l'amende maximale possible que l'ICO pouvait imposer était de 500 000 £. Si les violations avaient eu lieu après mai 2018, l'amende potentielle aurait pu être beaucoup plus élevée - à savoir jusqu'à 4% du chiffre d'affaires annuel de Facebook.

En novembre, l'autorité nationale roumaine de contrôle du traitement des données à caractère personnel a infligé des amendes à quatre entreprises :

  • 2 500 EUR contre le président royal pour avoir rejeté une demande d'accès à des données à caractère personnel conformément à l'article 15 du GDPR et aux données à caractère personnel divulguées sans le consentement des personnes concernées.
  • 80.000 euros contre ING Bank N.V. Bucarest pour ne pas avoir pris les mesures techniques et organisationnelles appropriées pour un système de traitement automatisé des données dans le cadre du traitement des transactions par carte avec 225.525 clients.
  • 11.000 euros sont versés à une entreprise de messagerie pour ne pas avoir pris les mesures techniques et organisationnelles appropriées entraînant la perte et l'accès non autorisé aux données personnelles d'environ 1.100 personnes concernées.
  • 2 000 euros contre BNP Paribas Personal Finance S.A. pour non-respect d'une demande de suppression dans le délai fixé par le GDPR.

En novembre, l'autorité espagnole de protection des données (aepd) a infligé des amendes à un certain nombre d'entreprises :

 

  • 1.500 euros d'amende à Cerrajero Online pour avoir collecté des données personnelles sans base légale suffisante.
  • 900 euros d'amende à TOTO TECNICOS24H S.L. pour avoir collecté des données à caractère personnel sans base juridique suffisante.
  • 3.000 euros d'amende à la Confédération générale du travail pour avoir divulgué des données personnelles dans un mailing sans consentement.
  • 30.000 euros d'amende à nouveau pour Telefonica SA pour non-respect des principes généraux de traitement des données.
  • Xfera Moviles SA s'est vu infliger une amende de 60.000 euros pour ne pas avoir pris les mesures techniques et organisationnelles (TOM) nécessaires pour garantir la sécurité de l'information.
  • Corporación radiotelevisión espanola s'est également vu infliger une amende de 60.000 euros pour ne pas avoir pris les mesures techniques et organisationnelles (TOM) nécessaires pour garantir la sécurité de l'information.

L'autorité belge de protection des données (APD) a infligé une amende de 5.000 euros à un conseiller municipal et à un bourgmestre pour avoir envoyé des courriers électoraux sans base juridique suffisante.

En novembre, la CNIL française a infligé à Futura Internationale la deuxième amende la plus élevée, soit 500.000 euros, pour des appels intempestifs, après que plusieurs plaignants ont reçu des appels intempestifs alors qu'ils avaient expliqué directement et par courrier à l'appelant que ce n'était pas leur intention, qu'ils n'avaient pas mis en œuvre les mécanismes de transfert de données appropriés et qu'ils n'avaient pas coopéré avec la CNIL.

En décembre, une série d'amendes et de sanctions ont été infligées, dont une par l'autorité espagnole de protection des données qui a imposé à Ikea Iberica une amende de 10.000 euros pour avoir installé des cookies sur les appareils mobiles de ses clients sans leur consentement préalable.

Le 3 décembre, l'autorité allemande de protection des données a infligé une amende de 105.000 euros à un hôpital pour plusieurs violations du RGPD liées à une confusion de patients lors de leur admission. Cette affaire a révélé des déficits structurels techniques et organisationnels dans la gestion des patients de l'hôpital.

Le 4 décembre, l'autorité roumaine de protection des données a infligé une sanction de 20.000 euros à une compagnie aérienne pour ne pas avoir pris les mesures appropriées afin de garantir que chaque personne physique travaillant sous son autorité traite les données à caractère personnel conformément à ses instructions en vertu du GDPR.

Le 9 décembre, le commissaire fédéral à la protection des données et à la liberté d'information (BfDI), Ulrich Kelber, a infligé une amende de 9,5 millions d'euros au prestataire de services de télécommunications 1&1 Telecom GmbH (1&1), qui ne protégerait pas suffisamment les données de ses clients.

Décisions tardives

 

L'autorité irlandaise de contrôle de la protection des données, la Data Protection Commission (DPC), devait annoncer en décembre si WhatsApp avait enfreint le RGPD en n'informant pas assez clairement ses utilisateurs sur la manière dont elle utilisait leurs données personnelles. La décision est désormais attendue pour janvier 2020.

En résumé, si l'on passe en revue les amendes infligées jusqu'à présent en vertu du RGPD, on constate qu'une certaine dynamique se développe cette année. Avec des milliers de plaintes déposées au cours des derniers mois, l'année 2020 promet d'être très intéressante en termes d'amendes RGPD.

Vous vous inquiétez de la conformité avec les directives du RGPD ? Il n'est pas trop tard. 

 

Contactez-nous dès aujourd'hui pour savoir comment vous pourrez agir en 2020 dans le respect de la protection des données.

Les tags :
Partager ce post :
fr_FRFrench