En infligeant des amendes de plusieurs millions de dollars à de grandes entreprises américaines, les autorités européennes de protection des données se sont mises en position en septembre : quelles sont les dispositions du RGPD que Meta et Clearview AI ont enfreintes et quelles leçons les autres entreprises peuvent en tirer.
1. Meta Platforms Ireland Ltd : 91 millions d'euros (Irlande)
Le 26 septembre 2024, l'autorité irlandaise de protection des données (Data Protection Commission, DPC) a infligé une amende de 91 millions d'euros à Meta Platforms Ireland Limited (MPIL).
En mars 2019, le MPIL a informé la DPC que des mots de passe d'utilisateurs de médias sociaux avaient été stockés par inadvertance en texte clair. Les mots de passe n'étaient ni cryptés ni protégés d'une autre manière par cryptographie. Des tiers non autorisés n'ont pas eu accès aux mots de passe.
L'incident a déclenché une enquête du DPC. Celle-ci s'est concentrée sur la question de savoir si MPIL avait mis en place des mesures de sécurité adéquates lors du traitement des mots de passe des utilisateurs et si l'entreprise avait respecté ses obligations en vertu du RGPD, notamment en ce qui concerne la documentation et la notification des violations de données.
L'enquête de la DPC a révélé plusieurs infractions au RGPD :
- Article 33(1) RGPD - MPIL n'a pas informé immédiatement la DPC de la violation de la protection des données liée au stockage des mots de passe des utilisateurs en texte clair.
- Article 33(5) RGPD - MPIL n'a pas documenté de manière adéquate la violation de la protection des données liée au stockage des mots de passe des utilisateurs en texte clair.
- Article 5(1)(f) du RGPD - MPIL n'a pas pris les mesures techniques et organisationnelles appropriées pour assurer la sécurité des mots de passe des utilisateurs, ce qui a porté atteinte à l'intégrité et à la confidentialité des données.
- Article 32(1) RGPD - Le MPIL n'a pas effectué une évaluation des risques suffisante.
Source : Communiqué de presse de DPC sur l'amende infligée à Meta Platforms Ireland Limited
2. Clearview AI : 30,5 millions d'euros (Pays-Bas)
L'autorité néerlandaise de protection des données "Autoriteit Persoonsgegevens" (AP) a infligé une amende d'un montant total de 30,5 millions d'euros à la société américaine Clearview AI Inc.
Clearview AI propose un logiciel de reconnaissance faciale basé sur une base de données de plus de 30 milliards de photos. Ces photos proviennent de sources publiques sur Internet telles que les réseaux sociaux, les sites d'information et les bases de données publiques. Clearview AI utilise ces données pour proposer différents services d'identification des personnes.
Au cours de son enquête, l'autorité de protection des données a constaté que Clearview AI avait traité des données à caractère personnel de personnes résidant aux Pays-Bas sans base légale. En particulier, Clearview AI a traité des données biométriques - une catégorie particulièrement sensible de données à caractère personnel - sans autorisation ou base juridique appropriée.
Les infractions commises par Clearview AI concernent plusieurs dispositions du RGPD, notamment
- Articles 5 et 6 du RGPD : Clearview AI a traité des données à caractère personnel sans base légale. Cela est contraire au principe de légalité, qui vise à garantir que le traitement ne soit effectué que sur une base licite.
- Article 9 du RGPD : Le traitement de données biométriques telles que les images faciales sans consentement explicite ou autre base légale est contraire à l'interdiction de traiter des catégories particulières de données à caractère personnel.
- Articles 12 et 14 du RGPD : Clearview AI n'a pas suffisamment informé les personnes concernées sur le traitement de leurs données à caractère personnel. Les obligations d'information sont un élément essentiel du RGPD pour garantir la transparence et les droits des personnes concernées.
- Article 15 du RGPD : Clearview AI n'a pas donné suite aux demandes d'accès des personnes concernées aux données les concernant.
- Article 27 du RGPD : Clearview AI n'a pas désigné de représentant dans l'Union européenne, bien que cela soit obligatoire pour les entreprises qui ne sont pas établies dans l'UE, mais qui traitent des données de citoyens de l'UE.
L'amende se compose des différentes infractions au RGPD. En plus des sanctions financières, Clearview AI a été obligée par le PA de mettre fin aux violations en cours. Cela comprend notamment la cessation du traitement illégal des données à caractère personnel et la désignation d'un représentant dans l'Union européenne.
Source : Amende Autoriteit Persoonsgegevens contre Clearview AI
3e banque TD : 27 760 000 dollars américains (États-Unis)
Le 11 septembre 2024, le Consumer Financial Protection Bureau (CFPB) a émis un avis d'amende à l'encontre de TD Bank, N.A. pour de graves violations de la Fair Credit Reporting Act (FCRA) et de la Consumer Financial Protection Act (CFPA). La TD Bank a été condamnée à une amende de 20 millions de dollars américains. En outre, une somme de 7,76 millions de dollars américains a été fixée pour dédommager les consommateurs concernés.
Le rapport d'enquête de la BFC a révélé plusieurs infractions commises par la Banque TD en ce qui concerne le traitement inadéquat des comptes de crédit et de dépôt. Les infractions concernaient notamment la communication incomplète ou incorrecte de renseignements sur le crédit aux agences d'évaluation du crédit à la consommation (ARC). Ces manquements ont eu de graves conséquences pour les consommateurs concernés.
Par exemple, la Banque TD n'a pas corrigé en temps opportun les renseignements erronés ou incomplets sur les comptes de cartes de crédit des consommateurs. Dans certains cas, cela a eu pour effet que des consommateurs qui avaient entièrement payé ou soldé leurs comptes ont continué d'être considérés comme des mauvais payeurs. La banque n'a pas non plus mené d'enquête appropriée et en temps utile lorsque des consommateurs contestaient les informations relatives à leur crédit. Cela concernait à la fois les litiges directs, introduits par les consommateurs eux-mêmes, et les litiges indirects, introduits par l'intermédiaire d'agences de renseignements sur la consommation. Pour de nombreux comptes de cartes de crédit, la banque a signalé de manière erronée la date du premier défaut de paiement, ce qui a eu pour conséquence que des mentions négatives sont restées dans les rapports de crédit des consommateurs plus longtemps que ce qui est autorisé.
En plus d'une amende civile de 20 millions de dollars et d'un dédommagement de 7,76 millions de dollars pour les consommateurs touchés, la Banque TD s'est vu imposer des conditions importantes pour améliorer ses processus :
- La banque doit veiller à ce que les informations erronées soient immédiatement corrigées.
- La Banque TD doit réviser ses politiques de traitement des différends afin de s'assurer que les enquêtes sont menées dans les délais prescrits par la loi.
- La banque doit présenter un plan de conformité complet dans les 90 jours, avec des rapports réguliers au conseil d'administration.
Source : Amende infligée à TD Bank par le Consumer Financial Protection Bureau
4e CM d'Enérgya : 2,5 millions d'euros (Espagne)
L'autorité espagnole de protection des données "Agencia Española de Protección de Datos" (AEPD) a infligé une amende de 2,5 millions d'euros à Energya-VM Gestión de Energía, S.L.U. (ci-après "Energya-VM").
En 2019 déjà, Energya-VM avait été alertée par des rapports de tiers sur les pratiques trompeuses et potentiellement illégales du prestataire de services externe Nivalco. Nivalco avait été chargé par Energya-VM de prospecter de nouveaux clients. Il s'est avéré que Nivalco utilisait des données à caractère personnel, y compris des données bancaires et d'autres informations sensibles, sans base juridique appropriée, pour contacter des clients potentiels et les inciter à signer un contrat avec Energya-VM.
Au cours de son enquête, l'AEPD a constaté que Nivalco utilisait les données de clients potentiels sans les avoir suffisamment informés au préalable du traitement de leurs données (violation de l'article 13 du RGPD).
Energya-VM a été considérée comme responsable du traitement des données par Nivalco conformément au RGPD, même si Nivalco agissait formellement en tant que sous-traitant. L'AEPD a fait valoir qu'Energya-VM exerçait un contrôle suffisant sur les activités de Nivalco pour être coresponsable des violations.
Il a été reproché à Energya-VM de ne pas avoir pris de mesures suffisantes pour contrôler le respect des règles de protection des données par Nivalco. Malgré des avertissements répétés et des audits internes, aucune mesure efficace n'a été prise pour mettre fin aux pratiques problématiques. Energya-VM n'a pas non plus veillé à ce que les personnes concernées soient informées de manière transparente du traitement de leurs données, notamment lors de leur premier contact avec Nivalco.
Outre l'amende, Energya-VM a été priée de prendre immédiatement des mesures pour améliorer ses pratiques en matière de protection des données. Parmi ces mesures figurait l'introduction de contrôles plus stricts des activités de ses prestataires de services.
Source : Amende de l'Agencia Española de Protección de Datos contre Energya-VM
5. Cegedim Santé : 800 000 euros (France)
La Commission Nationale de l'Informatique et des Libertés (CNIL) française a infligé une amende de 800.000 euros à la société Cegedim Santé par décision du 5 septembre 2024. Cette amende résulte d'une série de violations de la protection des données liées au traitement illicite de données de santé sensibles.
Cegedim Santé développe et distribue des solutions logicielles pour les cabinets médicaux et les centres de santé afin de gérer les rendez-vous, les dossiers des patients et les ordonnances.
Lors de contrôles effectués en 2021, la CNIL a constaté que la société avait collecté et traité des données de santé sans l'autorisation requise. Les données collectées ont ensuite été mises à disposition par Cegedim Santé pour la réalisation d'études et de statistiques dans le domaine de la santé. Ce faisant, les données de santé n'ont pas été rendues anonymes, mais seulement pseudonymisées. Cela signifie qu'une ré-identification des personnes concernées était techniquement possible, notamment par la combinaison de données provenant de différentes sources.
Les données traitées par Cegedim Santé comprenaient un grand nombre d'informations sensibles, dont l'année de naissance, le sexe, les allergies, les antécédents médicaux, la taille, le poids, les diagnostics, les ordonnances, les certificats d'incapacité de travail et les résultats d'analyse. Ces informations étaient reliées entre elles par un identifiant unique qui permettait de suivre l'ensemble du parcours de soins d'un patient. Compte tenu de la quantité de données et de la possibilité de les relier à des sources externes, la CNIL a reconnu un risque élevé de ré-identification des patients.
La CNIL a constaté que les données seraient traitées sous cette forme insuffisamment pseudonymisée au moins jusqu'en 2022. S'agissant de données de santé sensibles, la CNIL a considéré qu'il s'agissait d'une violation particulièrement grave de la loi sur la protection des données.
French 
German 
English 
Italian