Au mois de juin, les autorités de protection des données en Espagne et en Italie ont été particulièrement actives et ont infligé des amendes élevées. L'amende la plus élevée a été infligée à une entreprise italienne du secteur de l'énergie pour des appels publicitaires non autorisés.
1. Eni Plenitude, Italie : 6 419 631 euros
L'autorité italienne de protection des données (Garante per la protezione dei dati personali) a infligé une amende de 6.419.631 euros à l'entreprise énergétique Eni Plenitude par décision du 06/06/2024. Cette amende est motivée par des violations importantes de la protection des données dans le cadre d'activités de télémarketing.
L'autorité a reçu de nombreuses plaintes de personnes concernées qui se plaignaient d'appels publicitaires non sollicités et répétés. Certaines personnes concernées ont même signalé jusqu'à 248 appels en quelques mois, malgré leur inscription au RPO (Registro Pubblico delle Opposizioni). Le RPO est un registre dans lequel les personnes peuvent s'inscrire afin d'éviter les appels publicitaires non sollicités.
Une enquête de l'autorité de protection des données a révélé qu'en l'espace d'une semaine seulement, 657 contrats sur 747 conclus résultaient de demandes de contact non autorisées.
Pour déterminer le montant de l'amende, l'autorité de protection des données a tenu compte de la gravité des infractions et du fait qu'Eni Plenitude avait déjà été sanctionnée par le passé pour des infractions similaires. Bien que l'entreprise ait pris certaines mesures pour améliorer ses pratiques en matière de protection des données, l'enquête a constaté que ces mesures étaient insuffisantes. Il manquait notamment des contrôles et des mesures de sécurité adéquats pour garantir la légalité du traitement des données.
Conseil de lien : Avis de contravention Garante per la protezione dei dati personali (GPDP)
2. Avanza Bank AB, Suède : 15 000 000 SEK (1 332 681 euros)
L'autorité suédoise de protection des données (IMY) a infligé le 24 juin 2024 une amende de 15 millions de couronnes (environ (1.332.681 euros) à Avanza Bank AB. La raison en est l'utilisation de ce que l'on appelle un meta-pixel sur le site web et l'application de la banque, par lequel des données personnelles telles que les portefeuilles de titres et les numéros de compte ont été transmises à Meta (anciennement Facebook).
Entre le 15 novembre 2019 et le 2 juin 2021, des données à caractère personnel concernant jusqu'à un million de personnes ont été transmises à Meta en raison de paramètres erronés. Le transfert a eu lieu lorsqu'Avanza a activé par erreur de nouvelles fonctionnalités du pixel Meta, utilisé pour optimiser le marketing sur Facebook.
Les données transmises comprenaient des informations sur les portefeuilles de titres, les montants des crédits, les numéros de compte et les matricules. Selon Catharina Fernquist, chef de service chez IMY, la banque a enfreint le règlement général sur la protection des données (RGPD) car elle n'a pas pris les mesures techniques et organisationnelles adéquates pour protéger les données personnelles des visiteurs du site web et des utilisateurs de l'application.
Après avoir été informée de l'incident, Avanza a désactivé le pixel et confirmé que Meta avait supprimé les données collectées. En outre, Avanza a amélioré ses procédures internes afin de garantir un traitement correct et sûr des données à caractère personnel.
Conseil de lien : Avis de contravention Integritetsskyddsmyndigheten (IMY)
3ème entreprise inconnue, Belgique : 172.341 euros
Le 3 juin 2024, l'Autorité belge de protection des données a infligé une amende de 172.341 euros à une entreprise non identifiée.
Un particulier avait reçu à plusieurs reprises des messages commerciaux non sollicités, bien qu'il ait exercé au préalable son droit de suppression et d'opposition. Malgré son opposition expresse à l'utilisation de ses données à des fins de marketing direct, l'entreprise a continué à lui envoyer des messages commerciaux.
L'enquête de l'autorité de protection des données a révélé que la société n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir et démontrer sa conformité au RGPD.
L'autorité a d'abord infligé une amende de 2.000.000 euros, qui a été réduite à 172.431 euros après avoir pris en compte la situation financière et la taille de l'entreprise. Cette réduction visait à garantir que l'amende soit proportionnée tout en étant dissuasive.
Conseil de lien : Avis de contravention Autorité de protection des données
4. Allianz Compañía de Seguros y Reaseguros, S.A., Espagne : 120 000 euros
Un client d'Allianz s'est plaint auprès de l'autorité de protection des données que son ex-partenaire était en possession de documents contenant des informations confidentielles sur sa police d'assurance automobile ainsi qu'un rapport de la Dirección General de Tráfico (DGT). Ces informations avaient été extraites des systèmes internes d'Allianz et communiquées sans le consentement du client.
L'enquête menée par l'autorité espagnole de protection des données (Agencia Española de Protección de Datos, AEPD) a révélé qu'Allianz n'avait pas pris les mesures techniques et organisationnelles adéquates pour garantir la confidentialité des données à caractère personnel. Une employée a pu accéder sans autorisation à des données sensibles et les transmettre à l'ex-partenaire du client.
Le manque de contrôle sur l'accès aux données sensibles a été considéré comme un manquement grave. L'AEPD a donc infligé à Allianz une amende de 160.000 euros, réduite à 120.000 euros en cas de paiement dans les délais.
Conseil de lien : Avis de contravention Agencia Española de Protección de Datos
5. Cappello Giovanni & Figli, Italie : 120 000 euros
Le 6 juin 2024, l'autorité italienne de protection des données (Garante per la Protezione dei Dati Personali) a émis une amende de 120.000 euros à l'encontre de la société Cappello Giovanni & Figli s.r.l. Cette dernière a été condamnée à payer une amende de 100.000 euros.
Un ancien employé s'était plaint du traitement illégal de ses données à caractère personnel par la société, un concessionnaire automobile. La plainte portait sur deux systèmes : le logiciel Infinity DMS et le matériel X-Face 380, qui étaient utilisés pour enregistrer et surveiller les heures de travail.
Une enquête de la Guardia di Finanza a révélé que les systèmes étaient utilisés dans les sites de production de Modica et de Ragusa pour enregistrer les heures de travail et la présence des employés. Ces données ont également été utilisées pour établir les fiches de paie.
L'autorité de protection des données a estimé que l'utilisation du système de reconnaissance faciale X-Face 380 pour enregistrer les présences était disproportionnée et non couverte par les dispositions légales. En outre, les employés n'ont pas été suffisamment informés du traitement de leurs données. La déclaration de confidentialité mise à disposition était insuffisante et ne contenait pas d'informations détaillées sur la finalité et la durée de conservation des données, ni sur les droits des personnes concernées.
Conseil de lien : Avis de contravention Garante per la Protezione dei Dati Personali (GPDP)