Après avoir infligé une amende de 91 millions d'euros à Meta en septembre, l'autorité irlandaise de protection des données (DPC) a récidivé en octobre contre LinkedIn : L'entreprise appartenant à Microsoft doit payer 310 millions d'euros pour de graves violations de la protection des données. Le commissaire à la protection des données du Royaume-Uni a été particulièrement assidu en octobre : son autorité de protection des données, l'ICO, s'est hissée à deux reprises dans le top 5 des amendes infligées par le RGPD.
1. LinkedIn Ireland : 310 millions d'euros
La commission irlandaise de protection des données DPC (Data Protection Commission) a infligé une amende de 310 millions d'euros au réseau professionnel LinkedIn, qui appartient à Microsoft, par décision du 22 octobre 2024. L'enquête portait sur le traitement des données personnelles des utilisateurs de LinkedIn à des fins d'analyse comportementale et de publicité ciblée.
L'enquête de la DPC a été lancée le 20 août 2018 suite à une plainte déposée par l'organisation française à but non lucratif La Quadrature Du Net. La plainte a d'abord été déposée auprès de la CNIL française, puis transmise à la DPC dans son rôle d'autorité de contrôle principale pour LinkedIn.
Selon le communiqué de la DPC, l'enquête portait sur "la légalité, l'équité et la transparence du traitement des données à caractère personnel des utilisateurs de la plateforme LinkedIn à des fins d'analyse comportementale et de publicité ciblée". La DPC a constaté que les données à caractère personnel en question étaient des données fournies directement à LinkedIn par ses membres (données de première main) et des données collectées par LinkedIn via ses partenaires tiers en relation avec ses membres (données de tiers).
Pour plus de détails sur cette amende record, consultez notre article supplémentaire : LinkedIn écope d'une amende de 310 millions d'euros
2. service de police d'Irlande du Nord : 750.000 GPD (environ 890.000 euros)
L'Information Commissionar's Office (ICO), l'autorité britannique chargée de la protection des données, a infligé une amende de 750.000 £ (l'équivalent de 890.000 euros) à l'autorité de police d'Irlande du Nord (PSNI) pour une importante violation de la protection des données. Le 8 août 2023, les données personnelles de quelque 9 500 membres du personnel du PSNI, y compris leur numéro de service, leur département et leur lieu de travail, ont été publiées par inadvertance sur un site web public. Cette publication représentait un risque majeur pour les employés concernés, en particulier ceux qui occupent des rôles secrets et sensibles en termes de sécurité.
L'ICO a constaté que le PSNI avait enfreint plusieurs articles du règlement général sur la protection des données (UK GDPR), car l'autorité n'avait pas pris les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données. L'infraction était due à des lacunes dans la gestion interne et la formation au traitement des données sensibles.
Malgré les mesures prises par PSNI après l'incident, comme la mise en place d'un système de gestion des menaces et l'amélioration des politiques internes de sécurité, l'ICO a décidé qu'une amende était appropriée pour souligner la gravité de l'infraction et créer un effet dissuasif pour des organisations similaires.
Source : Avis de contravention Information Commissioner's Office (publié le 3 octobre 2024)
3. Cosmospace : 250.000 euros ET Telemaque : 150.000 euros
La Commission Nationale de l'Informatique et des Libertés (CNIL) française a infligé des amendes aux sociétés Cosmospace (250.000 euros) et Telemaque (150.000 euros) pour des violations de la protection des données liées à leurs services de voyance. Plusieurs infractions ont été constatées lors d'une enquête menée en 2021 :
Cosmospace enregistrait systématiquement toutes les conversations entre les clients et les voyants, ce qui était excessif et disproportionné selon la CNIL. La CNIL a constaté qu'un enregistrement aussi complet n'était pas nécessaire et devait être limité à certaines conversations pour le contrôle de la qualité.
Cosmospace et Telemaque ont également conservé les données des clients pendant une durée excessive. Cosmospace a conservé des données pendant six ans à des fins commerciales, tandis que TelemaqueE l'a fait sans limiter l'accès aux données ni les filtrer de manière appropriée.
Les deux entreprises ont également collecté des données sensibles, telles que des informations sur la santé et l'orientation sexuelle de leurs clients, sans demander de consentement explicite à cet effet.
Cosmospace envoyait des messages publicitaires par SMS et par e-mail à des personnes sans recueillir leur consentement explicite. La CNIL a constaté que le consentement n'avait pas été correctement recueilli via la société partenaire Telemaque.
Le montant de la sanction tient compte de la gravité des infractions, du grand nombre de personnes concernées (plus de 1,5 million de contacts) et de la situation financière de l'entreprise.
Source : Avis de contravention CNIL (publié le 10 octobre 2024)
4. Ibercaja Banco, S.A : 180 000 euros
L'autorité espagnole de protection des données Agencia Española de Protección de Datos (AEPD) a infligé une amende de 300.000 euros à Ibercaja Banco par décision du 1er octobre 2024. L'entreprise avait accédé illégalement aux données personnelles d'un ancien client après la fin d'une relation contractuelle Le client avait mis fin au contrat en février 2022, mais Ibercaja a effectué jusqu'en janvier 2023 un total de 47 consultations de ses données dans un registre d'évaluation de crédit. Ces accès ont été effectués sans base juridique valable, car il n'y avait aucune nécessité contractuelle ou légale.
Ibercaja a accepté la décision et a utilisé l'option de paiement volontaire et de reconnaissance de la dette, ce qui a réduit l'amende à 180.000 euros. L'entreprise s'est également engagée à prendre des mesures dans un délai de six mois pour assurer le respect de la
Source : Amende AEPD du 1er octobre 2024
5. Quick Tax Claims Limited : 120 000 livres sterling (environ 143 400 euros)
L'autorité britannique de protection des données ICO a infligé une amende de 120.000 £ à Quick Tax Claims Limited (QTC). La raison en était des violations de la réglementation sur la vie privée et les communications électroniques (PECR). Entre le 12 février et le 12 mai 2023, QTC a envoyé près de 8 millions de SMS marketing non sollicités sans le consentement valide des destinataires. Plus de 93 % de ces messages ne contenaient aucune possibilité de se désinscrire, ce qui est également contraire à la PECR.
Au total, 66 793 consommateurs se sont plaints de cette action.
L'OIC a constaté que QTC obtenait les données de fournisseurs tiers, mais que les mécanismes de consentement de ces derniers n'étaient pas conformes aux exigences légales. En outre, l'OIC a déterminé que QTC n'avait pas effectué de contrôles diligents suffisants pour s'assurer que le consentement au traitement des données avait été correctement donné.
Source : Avis de contravention Information Commissionar's Office du 15 octobre 2024