En août également, les autorités de protection des données ont été actives et ont infligé des amendes parfois très élevées. L'amende de 290 millions d'euros infligée par l'autorité néerlandaise de protection des données à la société de transport Uber a fait sensation. Par ailleurs, il vaut également la peine de jeter un coup d'œil en août sur les amendes infligées en Belgique, en Suède et en Espagne, avec des détails intéressants. Les enquêtes menées en Espagne contre l'entreprise de mode Uniqlo Europe montrent pourquoi l'erreur de négligence d'un seul employé peut coûter cher à une entreprise.
1. Uber : 290 millions d'euros (Pays-Bas)
L'autorité néerlandaise de protection des données Autoriteit Persoonsgegevens (AP) a lancé une procédure contre le service de transport Uber. Amende d'un montant de 290 millions d'euros. Motif de l'amende : protection insuffisante des données personnelles des chauffeurs de taxi européens transmises au siège américain d'Uber.
L'enquête de l'autorité de protection des données fait suite aux plaintes de plus de 170 chauffeurs Uber français. Ceux-ci s'étaient plaints des pratiques d'Uber en matière de protection des données auprès de l'organisation française des droits de l'homme, la Ligue des droits de l'homme (LDH). La LDH a alors déposé une Plainte auprès de l'autorité française de protection des données. Le siège européen d'Uber étant situé aux Pays-Bas, c'est l'autorité néerlandaise de protection des données qui était chargée de l'enquête.
Uber disposait, entre autres, d'informations sensibles telles que les données de compte et de permis de conduire, les données de localisation, PhotosLes données sont collectées auprès des conducteurs européens et stockées sur des serveurs aux États-Unis.
Le transfert de ces données sensibles s'est déroulé sur une période de plus de deux ans. Aucune mesure de protection nécessaire n'a été mise en œuvre à cette occasion, ce qui est dû à la RGPD sont obligatoires. L'autorité de protection des données classe le Violation d'Uber comme grave.
Source : Amende de l'Autoriteit Persoonsgegevens contre Uber
2. T-Mobile US : 60 millions de dollars américains
Le Committee on Foreign Investment in the U.S. (CFIUS) a infligé une amende de 60 millions de dollars (environ 55 millions d'euros) à l'entreprise de téléphonie mobile T-Mobile US.
L'entreprise n'a pas réussi à empêcher et à signaler l'accès non autorisé à des données sensibles, ont déclaré des hauts fonctionnaires américains à l'agence de presse Reuters le 14 août. En outre, T-Mobile US n'a pas signalé certaines violations assez rapidement, ce qui a compliqué l'enquête de l'autorité.
Dans une déclaration, T-Mobile a expliqué que la fusion avec l'entreprise de téléphonie mobile américaine Sprint avait entraîné des problèmes techniques qui ont pu être rapidement résolus. Concrètement, entre août 2020 et juin 2021, il y aurait eu dans certains cas des accès non autorisés à des données sensibles. Selon l'entreprise, un petit nombre de demandes émanant des autorités d'enquête auraient été concernées.
C'est la deuxième fois cette année que T-Mobile US se voit infliger une amende de plusieurs millions de dollars. En avril, la FCC avait déjà infligé une amende de 80 millions de dollars (environ 74,7 millions d'euros) à l'entreprise pour ne pas avoir suffisamment protégé les données de localisation de ses clients.
Conseil de lecture : Sanctions actuelles pour les violations de données aux États-Unis
3) Apoteket AB et Apohem AB : 37 millions de SEK et 8 millions de SEK respectivement (Suède)
L'autorité suédoise de protection des données Integritetsskyddsmyndigheten (IMY) a infligé des amendes de 37 millions de SEK (environ 3,26 millions d'euros) à Apoteket AB et de 8 millions de SEK (environ 705 000 euros) à Apohem AB. Les entreprises avaient utilisé le méta-pixel sur leurs sites web et avaient, pendant une longue période, utilisé des données personnelles sensibles. données à caractère personnel transmis à Meta.
Apoteket et Apohem ont utilisé l'outil d'analyse Meta-Pixel de Meta sur leurs sites web de janvier 2010 à avril 2022 afin d'évaluer leurs Marketing sur Facebook et Instagram. L'erreur Transmission L'augmentation du nombre de données personnelles a été causée par le fait que les entreprises ont activé une nouvelle sous-fonction du méta-pixel.
L'activation de la fonction "Advanced Matching" (AAM) du pixel Meta a entraîné le traitement et la transmission à Meta de plus de données que prévu initialement. Entre autres, les entreprises ont transmis des données sur l'achat de médicaments sans ordonnance, d'autotests et de traitements de maladies sexuellement transmissibles ainsi que de jouets sexuels. Ces données peuvent fournir des informations sur la santé ou la vie sexuelle d'une personne et sont donc soumises à l'article 9 de la loi sur la protection des données. RGPD une protection particulière.
L'enquête de l'IMY a révélé que les entreprises n'avaient pas pris les mesures techniques et organisationnelles appropriées pour garantir un niveau de protection adéquat des données à caractère personnel de leurs clients. Ce n'est qu'après l'incident que les deux entreprises ont pris plusieurs mesures pour améliorer le respect des règles de protection des données. Il s'agissait notamment de procéder à un examen complet des Cookies et d'outils d'analyse, la mise en place de formations pour le personnel et la création d'une nouvelle fonction de contrôle de la conformité aux règles de protection des données au sein du service marketing.
Source : Avis de contravention Integritetsskyddsmyndigheten contre Apoteket AB
Source : Avis de contravention Integritetsskyddsmyndigheten contre Apohem AB
4. Uniqlo Europe : 270 000 euros (Espagne)
Une mésaventure avec des conséquences : Un ancien employé de l'entreprise de mode japonaise Uniqlo a demandé à recevoir sa fiche de paie de juillet 2022. Outre sa propre fiche de paie, le fichier PDF qui lui a été envoyé contenait les fiches de paie de 446 autres employés.
L'enquête menée par l'Agencia Española de Protección de Datos (AEPD), l'autorité espagnole chargée de la protection des données, a révélé que la violation de la protection des données avait été causée par une erreur dans la gestion des ressources humaines. Cette erreur n'a toutefois pas été signalée en interne ni détectée à temps. Ce n'est qu'en avril 2023 qu'UNIQLO a été informée de l'existence d'une faille de sécurité. Plainte de l'AEPD a été informé, l'entreprise a reconnu l'incident comme une violation de la sécurité. En outre, les employés concernés n'ont pas été avertis immédiatement. La notification n'a été faite que le 4 mai 2023, après qu'Uniqlo ait été informé de la Plainte avait été informé. Uniqlo a indiqué n'avoir reçu aucune indication selon laquelle les données auraient été compromises ou utilisées de manière abusive. Néanmoins, l'entreprise a recommandé aux employés concernés de rester vigilants et de surveiller leurs comptes bancaires afin de détecter toute activité inhabituelle.
L'AEPD a constaté qu'Uniqlo avait enfreint plusieurs dispositions de la RGPD n'a pas respecté la loi :
- Article 5(1)(f) RGPD: UNIQLO a violé le principe de la Confidentialité et Intégrité en utilisant de manière inappropriée les données personnelles de 447 employés. Transmission a divulgué. La divulgation non autorisée de ces informations sensibles constitue une grave atteinte à la vie privée. Violation Les données n'étaient pas cryptées et étaient transmises par courrier électronique, ce qui augmentait le risque d'accès par des personnes non autorisées. Troisième a été augmentée.
- Article 32 RGPDUNIQLO n'avait pas pris les mesures techniques et organisationnelles appropriées pour assurer un niveau de protection adéquat. Malgré la mise en place d'un portail de sécurité et d'un manuel de sécurité de l'information, la mise en œuvre de protocoles de sécurité était manifestement insuffisante pour empêcher une telle violation de la protection des données. La formation et la sensibilisation des employés à la Protection des données ne suffisaient pas à minimiser le risque d'erreur humaine.
Le fait qu'un employé ait commis l'erreur n'exonère pas l'entreprise de sa responsabilité. Selon la jurisprudence de la Cour suprême espagnole (STS n° 188/2022), une entreprise reste responsable même si le Violation est due à la négligence d'un employé.
L'amende initialement infligée par l'AEPD, d'un montant total de 450.000 euros, a été réduite à 270.000 euros. Uniqlo a fait appel de la Violation et a pris des mesures pour éviter qu'un tel incident ne se reproduise à l'avenir.
Source : Avis de contravention Agencia Española de Protección de Datos
5. entreprise de télécommunications : 100.000 euros (Belgique)
Le 23 août 2024, la Chambre Contentieuse de l'Autorité de Protection des Données (APD) belge a infligé une amende de 100.000 euros à une entreprise de télécommunications dont le nom n'a pas été communiqué.
L'entreprise n'avait répondu que 14 mois après avoir reçu une demande d'information de la part d'un client. Cette réponse tardive a conduit la DGA à prendre une décision sur la base de la Plainte de la personne concernée a ouvert une enquête.
La Chambre Contentieuse a constaté que la société avait enfreint les articles 12 et 15 de la loi sur la protection des données. RGPD en ne respectant pas le Droit d'accès n'a pas accordé correctement à la personne concernée.
Article 15 de la RGPD garantit aux personnes concernées le droit d'obtenir du responsable du traitement la confirmation que données à caractère personnel et d'accéder à ces données et à des informations supplémentaires.
Conformément à l'article 12 de la RGPD doivent être utilisés pour Traitement responsables prennent des mesures pour faciliter l'exercice de leurs droits par les personnes concernées et répondent aux demandes "sans délai et, en tout état de cause, dans un délai d'un mois".
Or, la défenderesse n'a pas agi dans le délai prévu à l'article 12, paragraphe 3, de la directive. RGPD à la demande d'informations dans le délai prévu. En outre, les informations demandées n'ont été fournies au plaignant qu'après des demandes répétées et pendant la procédure en cours.
Lors du calcul de l'amende, il a été tenu compte du fait que la violation du droit d'accès est en principe considérée comme grave. Violation doit être considérée comme une violation de la loi. Le retard de plus de 14 mois dans la réponse à la demande d'informations a été considéré comme une poursuite de la fraude. Violation a été évaluée. De même, il a été tenu compte du fait qu'une réponse satisfaisante n'a été donnée que sous la pression de l'autorité.
German 
English 
Italian 
French