ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Les cinq amendes les plus élevées en juillet 2024

Amendes RGPD au mois de juillet.
Catégories :

Le top 5 des amendes RGPD pour le mois de juillet le montre : les violations graves du RGPD sont poursuivies et sanctionnées dans toute l'Europe. Le célèbre portail de seconde main Vinted en a fait l'expérience : L'entreprise doit payer environ 2,4 millions d'euros pour avoir commis de graves infractions à la protection des données dans l'UE. Aperçu des cinq amendes les plus élevées infligées par le RGPD au mois de juillet :

1. Vinted, Lituanie : 2.385.276 euros

Le 2 juillet 2024, l'autorité lituanienne de contrôle de la protection des données, State Data Protection Inspectorate (SDPI), a infligé une amende de 2.385.276 euros à Vinted, UAB, l'opérateur de la plateforme de vente en ligne de vêtements d'occasion "Vinted". L'amende a été infligée suite à des plaintes des autorités de contrôle françaises et polonaises.

L'amende a été infligée parce que Vinted n'a pas traité correctement les demandes de suppression de données à caractère personnel et d'accès à ces données. Les demandes ont été rejetées au motif que les demandeurs n'avaient pas fourni de motif spécifique conformément à l'article 17 du RGPD.
En outre, Vinted a utilisé illégalement le "shadow blocking", qui consiste à traiter les données des utilisateurs à leur insu, ce qui est contraire aux principes d'équité et de transparence. En outre, des mesures techniques et organisationnelles suffisantes n'ont pas été prises pour garantir la responsabilité et démontrer que les demandes d'exercice des droits des personnes concernées ont fait l'objet d'une réponse adéquate.

Les violations avaient un caractère transfrontalier et concernaient un grand nombre de personnes sur une longue période. La décision a donc été prise lors d'une réunion à huis clos avec des représentants de la SDPI et de l'entreprise et a été coordonnée avec les autorités de protection des données d'autres États membres de l'UE.

Source : Communiqué de presse de l'Inspection nationale de la protection des données

2. AS Watson Health & Beauty Continental Europe, Pays-Bas : 600.000 euros

L'autorité néerlandaise de protection des données Autoriteit Persoonsgegevens (AP) a infligé une amende de 600.000 euros à l'entreprise derrière la chaîne de drugstores Kruidvat.

La raison en est que l'entreprise a suivi les visiteurs du site web Kruidvat.nl à leur insu et sans leur consentement à l'aide de cookies de suivi. De cette manière, Kruidvat a collecté des données personnelles sensibles sur des millions de visiteurs du site sans leur consentement.

L'entreprise a également créé des profils personnels des visiteurs en collectant des données telles que la localisation, les pages visitées, les produits ajoutés et achetés, ainsi que les recommandations sur lesquelles les visiteurs ont cliqué. Les données collectées comprenaient des informations sensibles telles que les tests de grossesse, les moyens de contraception et les médicaments, ce qui permettait d'établir un profil détaillé et invasif des visiteurs.

En outre, la bannière des cookies sur Kruidvat.nl contenait des cases de consentement cochées par défaut, ce qui est inadmissible. Les visiteurs du site devaient passer par plusieurs étapes pour refuser les cookies.

Source : Avis de contravention Autoriteit Persoonsgegevens 

3. GSMA Limited, Espagne : 600 000 euros

L'Agencia española protección datos (AEPD), l'autorité espagnole de protection des données, a enquêté sur les pratiques de GSMA Limited, l'organisateur du Mobile World Congress 2022 (MWC 2022), suite à une plainte d'un particulier.

Les employés du MWC 2022 ont dû télécharger leur certificat de vaccination contre le COVID-19 ou des informations sanitaires équivalentes sur un portail en ligne afin d'avoir accès au site. La GSMA a expliqué que la collecte des informations sanitaires était nécessaire pour assurer la sécurité de l'événement et empêcher la propagation du COVID-19. Ils ont indiqué que les données seraient gérées par Quironprevención, un prestataire de services médicaux, et qu'elles seraient supprimées à la fin de l'événement.

L'enquête de l'AEPD a révélé que la GSMA n'avait pas suffisamment informé les personnes concernées du traitement des données. En outre, la GSMA ne disposait pas d'une base juridique suffisante pour le traitement des données relatives à la santé.

L'amende se compose comme suit : 100.000 euros pour la violation de l'article 14 du RGPD. 300.000 euros pour violation de l'article 9, paragraphe 2 du RGPD. 200.000 euros pour violation de l'article 6, paragraphe 1 du RGPD.

Source : Avis de contravention Agencia española protección datos

4. Telefónica Móviles España (TME), Espagne : 200 000 euros

Le 21 mars 2023, une personne a déposé une plainte auprès de l'Agencia española protección datos (AEPD), l'autorité espagnole chargée de la protection des données. Le plaignant a déclaré que sa carte SIM Movistar s'était soudainement arrêtée de fonctionner le 7 janvier 2023. Après s'être rendu dans un magasin Movistar le 9 janvier, il a reçu une nouvelle carte SIM et a constaté par la suite que six transactions bancaires non autorisées avaient été effectuées entre le 7 et le 9 janvier. Le 17 janvier, TME a informé le plaignant qu'un duplicata de la carte SIM avait été délivré à une tierce personne le 7 janvier.

Au cours de l'enquête de l'autorité de protection des données, TME a expliqué que la procédure habituelle d'émission d'un duplicata de carte SIM implique une double vérification de l'identité (visuelle et documentaire) afin de s'assurer que seules les personnes autorisées reçoivent la carte. Cependant, TME n'a pas été en mesure de fournir des documents confirmant la vérification de l'identité de la troisième personne le 7 janvier.

L'AEPD a constaté que TME avait enfreint l'article 6, paragraphe 1, du règlement général sur la protection des données (RGPD) en délivrant la carte SIM à un tiers non autorisé sans vérification suffisante de son identité. Le fait que l'incident ait été causé par les agissements frauduleux d'un tiers n'y fait pas obstacle. Une amende de 200.000 euros est infligée à TME.

Source : Avis de contravention Agencia española protección datos

5. Vodafone España, Espagne : 200.000 euros

Un particulier a reçu à plusieurs reprises des appels publicitaires non autorisés provenant de numéros de téléphone Vodafone, bien que son numéro figure sur la liste Robinson visant à empêcher les appels publicitaires.

Vodafone a expliqué que les appels ne provenaient pas de ses partenaires autorisés et que les numéros de téléphone en question étaient exploités par des tiers. En outre, Vodafone a informé l'autorité espagnole de protection des données (AEPD) qu'elle avait cessé de travailler avec des partenaires qui avaient enfreint à plusieurs reprises les règles de protection des données et qu'elle avait pris des mesures pour mieux identifier les numéros de téléphone.

Toutefois, au cours de l'enquête, l'AEPD a constaté que Vodafone avait enfreint l'article 58, paragraphe 1, du règlement général sur la protection des données (RGPD) en ne fournissant pas les informations nécessaires à l'enquête sur les appels. Une amende de 200 000 euros a été infligée à l'entreprise pour coopération insuffisante et non-communication des informations requises dans le cadre d'une enquête sur la protection des données.

Source : Avis de contravention Agencia española protección datos

Les tags :
Partager ce post :
fr_FRFrench