En août également, les autorités de protection des données ont été actives et ont infligé des amendes parfois très élevées. L'amende de 290 millions d'euros infligée par l'autorité néerlandaise de protection des données à l'entreprise de transport Uber a fait sensation. Par ailleurs, il vaut également la peine de jeter un coup d'œil en août sur les amendes infligées en Belgique, en Suède et en Espagne, avec des détails intéressants. Les enquêtes menées en Espagne contre l'entreprise de mode Uniqlo Europe montrent pourquoi l'erreur de négligence d'un seul employé peut coûter cher à une entreprise.
1. Uber : 290 millions d'euros (Pays-Bas)
L'autorité néerlandaise de protection des données Autoriteit Persoonsgegevens (AP) a infligé une amende de 290 millions d'euros au service de transport Uber. Motif de l'amende : protection insuffisante des données à caractère personnel des chauffeurs de taxi européens transmises au siège américain d'Uber.
L'enquête de l'autorité de protection des données fait suite aux plaintes de plus de 170 chauffeurs Uber français. Ceux-ci s'étaient plaints des pratiques d'Uber en matière de protection des données auprès de l'organisation française des droits de l'homme, la Ligue des droits de l'homme (LDH). La LDH a ensuite déposé une plainte auprès de l'autorité française de protection des données. Le siège européen d'Uber étant situé aux Pays-Bas, c'est l'autorité néerlandaise de protection des données qui était chargée de l'enquête.
Uber avait notamment collecté des informations sensibles telles que des données de compte et de permis de conduire, des données de localisation, des photos, des informations de paiement, des documents d'identité et, dans certains cas, des données pénales et médicales de chauffeurs européens, et les avait stockées sur des serveurs aux États-Unis.
Le transfert de ces données sensibles s'est déroulé sur une période de plus de deux ans. Aucune mesure de protection nécessaire, prescrite par le RGPD, n'a été mise en œuvre. L'autorité de protection des données considère que la violation commise par Uber est grave.
Source : Amende infligée à Uber par l'Autoriteit Persoonsgegevens
2. T-Mobile US : 60 millions de dollars américains
Le Committee on Foreign Investment in the U.S. (CFIUS) a infligé une amende de 60 millions de dollars (environ 55 millions d'euros) à l'entreprise de téléphonie mobile T-Mobile US.
L'entreprise n'a pas réussi à empêcher et à signaler l'accès non autorisé à des données sensibles, ont déclaré des hauts fonctionnaires américains à l'agence de presse Reuters le 14 août. En outre, T-Mobile US n'a pas signalé certaines violations assez rapidement, ce qui a compliqué l'enquête de l'autorité.
Dans une déclaration, T-Mobile a expliqué que la fusion avec l'entreprise de téléphonie mobile américaine Sprint avait entraîné des problèmes techniques qui ont pu être rapidement résolus. Concrètement, entre août 2020 et juin 2021, il y aurait eu dans certains cas des accès non autorisés à des données sensibles. Selon l'entreprise, un petit nombre de demandes émanant des autorités d'enquête auraient été concernées.
C'est la deuxième fois cette année que T-Mobile US se voit infliger une amende de plusieurs millions de dollars. En avril, la FCC avait déjà infligé une amende de 80 millions de dollars (environ 74,7 millions d'euros) à l'entreprise pour ne pas avoir suffisamment protégé les données de localisation de ses clients.
Conseil de lecture : Sanctions actuelles pour les violations de données aux États-Unis
3) Apoteket AB et Apohem AB : 37 millions de SEK et 8 millions de SEK respectivement (Suède)
L'autorité suédoise de protection des données Integritetsskyddsmyndigheten (IMY) a infligé des amendes d'un montant de 37 millions de couronnes suédoises (environ 3,26 millions d'euros) à Apoteket AB et de 8 millions de couronnes suédoises (environ 705 000 euros) à Apohem AB. Les entreprises avaient utilisé le pixel Meta sur leurs sites web et avaient transmis à Meta des données à caractère personnel pertinentes pour la protection des données pendant une période prolongée.
Apoteket et Apohem avaient utilisé l'outil d'analyse Meta-Pixel de Meta sur leurs sites web de janvier 2010 à avril 2022 afin d'améliorer leur marketing sur Facebook et Instagram. La transmission erronée de données à caractère personnel a été causée par le fait que les entreprises avaient activé une nouvelle sous-fonction du pixel Meta.
L'activation de la fonction "Advanced Matching" (AAM) du pixel Meta a entraîné le traitement et la transmission à Meta de plus de données que prévu initialement. Entre autres, les entreprises ont transmis des données sur l'achat de médicaments sans ordonnance, d'autotests et de traitements de maladies sexuellement transmissibles ainsi que de jouets sexuels. De telles données peuvent fournir des informations sur la santé ou la vie sexuelle d'une personne et sont donc soumises à une protection particulière en vertu de l'article 9 du RGPD.
L'enquête de l'IMY a révélé que les entreprises n'avaient pas pris les mesures techniques et organisationnelles appropriées pour garantir un niveau de protection adéquat des données à caractère personnel de leurs clients. Ce n'est qu'après l'incident que les deux entreprises ont pris plusieurs mesures pour améliorer leur conformité aux règles de protection des données. Il s'agissait notamment d'un examen approfondi des cookies et des outils d'analyse utilisés, de la mise en place de formations pour les employés et de la création d'une nouvelle fonction de contrôle de la conformité aux règles de protection des données au sein du service marketing.
Source : Avis de contravention Integritetsskyddsmyndigheten contre Apoteket AB
Source : Avis de contravention Integritetsskyddsmyndigheten contre Apohem AB
4. Uniqlo Europe : 270 000 euros (Espagne)
Une mésaventure avec des conséquences : Un ancien employé de l'entreprise de mode japonaise Uniqlo a demandé à recevoir sa fiche de paie de juillet 2022. Outre sa propre fiche de paie, le fichier PDF qui lui a été envoyé contenait les fiches de paie de 446 autres employés.
L'enquête menée par l'Agencia Española de Protección de Datos (AEPD), l'autorité espagnole chargée de la protection des données, a révélé que la violation de la protection des données avait été causée par une erreur dans la gestion des ressources humaines. Cette erreur n'a toutefois pas été signalée en interne ni détectée à temps. Ce n'est que lorsqu'UNIQLO a été informé de la plainte de l'AEPD en avril 2023 que l'entreprise a reconnu l'incident comme une violation de la sécurité. En outre, les employés concernés n'ont pas été avertis immédiatement. La notification n'a eu lieu que le 4 mai 2023, après qu'Uniqlo ait été informée de la plainte. Uniqlo a déclaré n'avoir reçu aucune indication selon laquelle les données auraient été compromises ou utilisées de manière abusive. L'entreprise a néanmoins recommandé aux employés concernés de rester vigilants et de surveiller leurs comptes bancaires afin de détecter toute activité inhabituelle.
L'AEPD a constaté qu'Uniqlo avait enfreint plusieurs dispositions du RGPD :
- Article 5(1)(f) du RGPD : UNIQLO a enfreint les principes de confidentialité et d'intégrité en divulguant les données personnelles de 447 employés par une transmission inappropriée. La divulgation non autorisée de ces informations sensibles constitue une violation grave, d'autant plus que les données n'étaient pas cryptées et qu'elles ont été transmises par courrier électronique, ce qui a augmenté le risque d'accès par des tiers non autorisés.
- Article 32 du RGPD : UNIQLO n'avait pas pris les mesures techniques et organisationnelles appropriées pour assurer un niveau de protection adéquat. Malgré la mise en place d'un portail de sécurité et d'un manuel de sécurité de l'information, la mise en œuvre de protocoles de sécurité était manifestement insuffisante pour prévenir une telle violation de la protection des données. La formation et la sensibilisation du personnel à la protection des données n'ont pas suffi à minimiser le risque d'erreur humaine.
Le fait qu'un employé ait commis l'erreur n'exonère pas l'entreprise de sa responsabilité. Selon la jurisprudence de la Cour suprême espagnole (STS n° 188/2022), une entreprise reste responsable même si l'infraction est due à la négligence d'un employé.
L'amende initialement infligée par l'AEPD, d'un montant total de 450.000 euros, a été réduite à 270.000 euros. Uniqlo a reconnu l'infraction et a entre-temps pris des mesures pour éviter qu'un tel incident ne se reproduise à l'avenir.
Source : Avis de contravention Agencia Española de Protección de Datos
5. entreprise de télécommunications : 100.000 euros (Belgique)
Le 23 août 2024, la Chambre Contentieuse de l'Autorité de Protection des Données (APD) belge a infligé une amende de 100.000 euros à une entreprise de télécommunications dont le nom n'a pas été communiqué.
L'entreprise n'avait répondu que 14 mois après avoir reçu une demande d'information de la part d'un client. Cette réponse tardive a conduit la DGA à ouvrir une enquête suite à la plainte de la personne concernée.
La Chambre Contentieuse a constaté que la société avait enfreint les articles 12 et 15 du RGPD en n'accordant pas correctement le droit d'accès à la personne concernée.
L'article 15 du RGPD garantit aux personnes concernées le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel sont ou ne sont pas traitées, ainsi que l'accès à ces données et à des informations complémentaires.
En vertu de l'article 12 du RGPD, les responsables du traitement doivent prendre des mesures pour faciliter l'exercice de leurs droits par les personnes concernées et répondre aux demandes "sans délai et, en tout état de cause, dans un délai d'un mois".
Or, la partie défenderesse n'a pas répondu à la demande d'information dans le délai prévu par l'article 12, paragraphe 3, du RGPD. En outre, les informations demandées n'ont été mises à la disposition du plaignant qu'après des demandes répétées et pendant la procédure en cours.
Lors du calcul de l'amende, il a été tenu compte du fait que la violation du droit d'accès doit en principe être considérée comme une infraction grave. Le retard de plus de 14 mois dans la réponse à la demande d'informations a été considéré comme une infraction continue. De même, il a été tenu compte du fait qu'une réponse satisfaisante n'a été donnée que sous la pression de l'autorité.