Au mois de juin, les autorités de protection des données en Espagne et en Italie ont été particulièrement actives et ont infligé des amendes élevées. Le montant le plus élevé Amende une entreprise italienne du secteur de l'énergie a été condamnée pour avoir passé des appels publicitaires non autorisés.
1. Eni Plenitude, Italie : 6 419 631 euros
L'autorité italienne de protection des données (Garante per la protezione dei dati personali) a émis une décision du 06.06.2024 à l'encontre de l'entreprise énergétique Eni Plenitude. Amende d'un montant de 6.419.631 euros. Cette amende est due à des violations importantes de la protection des données dans le cadre d'activités de télémarketing.
L'autorité a reçu de nombreuses plaintes de personnes concernées qui se plaignaient d'appels publicitaires non sollicités et répétés. Certains Personnes concernées ont même signalé jusqu'à 248 appels en quelques mois, malgré leur inscription au RPO (Registro Pubblico delle Opposizioni). Le RPO est un registre dans lequel les personnes peuvent s'inscrire afin d'éviter les appels publicitaires non sollicités.
Une enquête de l'autorité de protection des données a révélé qu'en l'espace d'une semaine seulement, 657 contrats sur 747 conclus résultaient de demandes de contact non autorisées.
Pour déterminer le montant de l'amende, l'autorité de protection des données a tenu compte de la gravité des infractions et du fait qu'Eni Plenitude avait déjà été sanctionnée par le passé pour des infractions similaires. Bien que l'entreprise ait pris certaines mesures pour améliorer ses pratiques en matière de protection des données, l'enquête a constaté que ces mesures étaient insuffisantes. Il manquait notamment des contrôles et des mesures de sécurité adéquats pour garantir la légalité du traitement des données.
Conseil de lien : Avis de contravention Garante per la protezione dei dati personali (GPDP)
2. Avanza Bank AB, Suède : 15 000 000 SEK (1 332 681 euros)
Le 24 juin 2024, l'autorité suédoise de protection des données (IMY) a émis un avis motivé à l'encontre d'Avanza Bank AB. Amende d'un montant de 15 millions de couronnes (environ (1.332.681 euros)). La raison en est l'utilisation d'un "méta-pixel" sur le site web et l'application de la banque, ce qui a eu pour conséquence données à caractère personnel comme les portefeuilles de titres et les numéros de compte ont été transmis à Meta (anciennement Facebook).
Entre le 15 novembre 2019 et le 2 juin 2021, des erreurs de recrutement ont entraîné des retards de paiement. données à caractère personnel de jusqu'à un million de personnes sont transmises à Meta. Le site Transmission a eu lieu lorsqu'Avanza a activé par erreur de nouvelles fonctions du méta-pixel utilisé pour optimiser le marketing sur Facebook.
Les données transmises comprenaient des informations sur les portefeuilles de titres, les montants des crédits, les numéros de compte et les matricules. Selon Catharina Fernquist, chef de service chez IMY, la banque a enfreint le règlement général sur la protection des données (RGPD) en ne prenant pas les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel des visiteurs du site web et des utilisateurs de l'application.
Après avoir été informée de l'incident, Avanza a désactivé le pixel et confirmé que Meta avait supprimé les données collectées. En outre, Avanza a amélioré ses procédures internes afin de garantir une utilisation correcte et sûre des données. Traitement des données à caractère personnel.
Conseil de lien : Avis de contravention Integritetsskyddsmyndigheten (IMY)
3ème entreprise inconnue, Belgique : 172.341 euros
L'Autorité belge de protection des données a publié le 3.06.2024 un Amende d'un montant de 172 341 euros a été infligée à une entreprise dont l'identité n'a pas été révélée.
Un particulier avait reçu à plusieurs reprises des messages commerciaux non sollicités, bien qu'il ait exercé au préalable son droit de suppression et d'opposition. Malgré son opposition expresse à l'utilisation de ses données à des fins de marketing direct, l'entreprise a continué à lui envoyer des messages commerciaux.
L'enquête de l'autorité de protection des données a révélé que la société n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir et démontrer sa conformité au RGPD.
L'autorité a d'abord infligé une amende de 2.000.000 euros, qui a été réduite à 172.431 euros après avoir pris en compte la situation financière et la taille de l'entreprise. Cette réduction visait à garantir que l'amende soit proportionnée tout en étant dissuasive.
Conseil de lien : Avis de contravention Autorité de protection des données
4. Allianz Compañía de Seguros y Reaseguros, S.A., Espagne : 120 000 euros
Un client d'Allianz s'est plaint auprès de l'autorité de protection des données que son ex-partenaire était en possession de documents contenant des informations confidentielles sur sa police d'assurance automobile ainsi qu'un rapport de la Dirección General de Tráfico (DGT). Ces informations avaient été extraites des systèmes internes d'Allianz et communiquées sans le consentement du client.
L'enquête de l'autorité espagnole de protection des données (Agencia Española de Protección de Datos, AEPD) a révélé que l'Alliance n'avait pas pris les mesures techniques et organisationnelles adéquates pour Confidentialité des données à caractère personnel. Une employée a pu accéder sans autorisation à des données sensibles et les transmettre à l'ex-partenaire du client.
Le manque de contrôle sur l'accès aux données sensibles a été considéré comme un manquement grave. L'AEPD a donc infligé à l'Alliance un Amende d'un montant de 160.000 euros, qui a été réduit à 120.000 euros en cas de paiement dans les délais.
Conseil de lien : Avis de contravention Agencia Española de Protección de Datos
5. Cappello Giovanni & Figli, Italie : 120 000 euros
Le 6 juin 2024, l'autorité italienne de protection des données (Garante per la Protezione dei Dati Personali) a émis une amende de 120.000 euros à l'encontre de la société Cappello Giovanni & Figli s.r.l. Cette dernière a été condamnée à payer une amende de 100.000 euros.
Un ancien collaborateur s'était plaint de l'illégalité Traitement de ses données personnelles par l'entreprise, un concessionnaire automobile. Le site Plainte portait sur deux systèmes : le logiciel Infinity DMS et le matériel X-Face 380, utilisés pour l'enregistrement et le suivi des heures de travail.
Une enquête de la Guardia di Finanza a révélé que les systèmes étaient utilisés dans les sites de production de Modica et de Ragusa pour enregistrer les heures de travail et la présence des employés. Ces données ont également été utilisées pour établir les fiches de paie.
L'utilisation du système de reconnaissance faciale X-Face 380 pour enregistrer les présences était, selon l'autorité de protection des données, disproportionnée et non couverte par des dispositions légales. En outre, les employés n'ont pas été suffisamment informés Traitement de leurs données. La déclaration de confidentialité mise à disposition était insuffisante et ne contenait pas d'informations détaillées sur la finalité et la durée de conservation des données, ni sur les droits des personnes concernées.
Conseil de lien : Avis de contravention Garante per la Protezione dei Dati Personali (GPDP)
German 
English 
Italian 
French