En novembre 2024, trois amendes de plusieurs millions ont été infligées à des entreprises espagnoles, italiennes et finlandaises. Dans deux cas, les autorités de protection des données ont critiqué le fait que le principe "Privacy by Design" n'était que très insuffisamment mis en œuvre dans les processus de traitement des données. Et comme c'est souvent le cas, les amendes infligées offrent des enseignements intéressants pour les entreprises.
The Phone House Spain : 6,5 millions d'euros (Espagne)
Le 14 avril 2021, The Phone House Spain, S.L. (TPHS) a signalé une grave violation de données à l'Agencia Española de Protección de Datos (AEPD), l'autorité espagnole de protection des données. Environ 13 millions d'enregistrements de données ont été touchés. L'attaque a eu lieu via un ransomware (Babuk Locker) qui a crypté des données personnelles sensibles. Les données ont ensuite été publiées sur le Dark Web.
L'AEPD a considéré qu'il y avait eu violation de l'article 5, paragraphe 1, point f) du RGPD (intégrité et confidentialité) et de l'article 32 du RGPD (mesures techniques et organisationnelles). Concrètement, l'AEPD a reproché à l'entreprise de téléphonie mobile des mesures de sécurité insuffisantes, telles que des règles de mot de passe inadéquates, des mesures de sécurité réseau faibles et l'absence de vérifications régulières.
The Phone House, quant à elle, s'est considérée comme victime d'une cyber-attaque sophistiquée. L'entreprise a expliqué que même les mesures de sécurité les plus avancées n'avaient peut-être pas offert une protection totale. En outre, la publication ultérieure des données sur le dark web était hors de son contrôle.
L'AEPD a néanmoins infligé une amende de 6,5 millions d'euros. Dans l'avis d'amende, elle justifie cette décision par la mise en œuvre insuffisante de mesures de sécurité préventives et par le nombre élevé de personnes concernées. L'AEPD souligne l'obligation des entreprises de mettre en œuvre de manière proactive des mesures de sécurité appropriées en fonction des risques. L'AEPD a refusé de faire appel de la décision.
Source : L'Agencia Española de Protección de Datos inflige une amende à The Phone House
Source : Décision de rejet de l'Agencia Española de Protección de Datos à l'encontre du recours de The Phone House
Foodinho : 5 millions d'euros (Italie)
La procédure a été déclenchée par l'accident tragique d'un chauffeur qui a perdu la vie lors d'une livraison pour le service de livraison Foodinho. Après la désactivation de son compte par un système automatisé de la plateforme Glovo, le défunt a reçu un message inapproprié l'excluant de la plateforme pour de prétendues violations de contrat. Ce message a non seulement attiré l'attention du public, mais a également donné lieu à de vastes enquêtes sur la protection des données.
L'autorité italienne de protection des données Garante per la protezione dei dati personali (GPDP) a constaté, lors de ses enquêtes, des lacunes massives dans le traitement des données, qui ne concernaient pas seulement ce cas particulier, mais l'ensemble de l'infrastructure de traitement des données de Foodinho. Une attention particulière a été accordée au traitement automatisé des données et à la transparence des conditions d'utilisation. Ainsi, les données à caractère personnel de quelque 35.000 chauffeurs enregistrés ont été traitées de manière illégale. Foodinho utilisait notamment des méthodes d'authentification biométriques sans avoir suffisamment clarifié et documenté leur base juridique.
Foodinho a notamment utilisé des méthodes d'authentification biométrique sans clarifier ni documenter suffisamment leur base juridique. De même, l'"Excellence Score", un système d'évaluation des conducteurs, reposait sur un traitement automatisé des données qui n'était ni suffisamment documenté ni expliqué de manière compréhensible aux utilisateurs.
L'autorité de protection des données a imposé une amende de cinq millions d'euros et a exigé des mesures correctives supplémentaires. Elle a souligné la nécessité d'intégrer la protection des données dès le début des processus ("privacy by design").
Source : Amende infligée par le Garante per la protezione dei dati personali à Foodinho
Posti Jakelu Oy : 2,4 millions d'euros (Finlande)
L'enquête a commencé par des plaintes d'utilisateurs selon lesquelles des documents personnels - y compris des factures et des dossiers médicaux sensibles - étaient transmis à la boîte aux lettres numérique d'OmaPosti sans leur consentement explicite. Certains utilisateurs ont indiqué qu'ils n'utilisaient pas activement le service ou qu'ils refusaient la communication postale numérique pour des raisons personnelles. L'autorité finlandaise de protection des données, Tietosuojavaltuutetun toimisto, a alors lancé un examen complet des pratiques de traitement des données de la plate-forme postale Posti Jakelu Oy.
L'autorité finlandaise de protection des données a constaté d'importantes lacunes dans le traitement des données, en violation de plusieurs dispositions du RGPD :
- Activation automatique des boîtes aux lettres : Posti Jakelu Oy a créé des boîtes aux lettres numériques pour les utilisateurs sans demander leur consentement explicite. Cette pratique était contraire à l'article 6 du RGPD, qui exige une base juridique claire pour le traitement des données à caractère personnel.
- Manque de transparence : les utilisateurs n'étaient pas suffisamment informés du fait que leurs données à caractère personnel étaient automatiquement transférées dans la boîte aux lettres numérique. Cela contrevenait aux articles 12 à 14 du RGPD, qui exigent la transparence et une information claire des personnes concernées.
- Absence de choix : les utilisateurs n'avaient pas la possibilité de refuser le service ou d'empêcher la transmission de leurs données. Cela constitue une violation des principes de base du traitement des données conformément à l'article 5 du RGPD.
En particulier, l'activation automatique des boîtes aux lettres numériques sans le consentement actif des utilisateurs a été considérée comme une violation grave. L'autorité a précisé que la création d'une boîte aux lettres numérique n'était pas obligatoire pour la fourniture d'autres services et qu'il n'existait donc pas de base juridique valable au sens de l'article 6 du RGPD.
Outre l'imposition d'une amende de 2,4 millions d'euros, l'autorité finlandaise de protection des données a ordonné à Posti Jakelu Oy de revoir ses pratiques de traitement des données afin d'assurer la conformité avec le RGPD. Les principales exigences comprenaient
- des informations claires et transparentes pour les utilisateurs, afin de leur permettre d'accepter ou de refuser le traitement de leurs données
- Mise en place de mesures techniques et organisationnelles garantissant que les processus de traitement des données respectent les principes de "privacy by design" et de "privacy by default".
- Veiller à ce que les boîtes aux lettres électroniques ne soient activées que sur demande expresse des utilisateurs.
Prestataires de services dans le secteur de la gestion des créances : 900.000 euros (Allemagne)
Le délégué hambourgeois à la protection des données et à la liberté d'information (HmbBfDI), a infligé une amende de 900.000 euros à une entreprise du secteur de la gestion des créances. La raison : l'entreprise avait conservé des données personnelles sans base légale jusqu'à cinq ans après l'expiration des délais légaux de suppression.
L'infraction a été constatée dans le cadre d'un contrôle ciblé, au cours duquel le HmbBfDI a vérifié le respect du RGPD par des entreprises leaders du secteur. Outre des entretiens écrits, des contrôles ont également été effectués sur place. Alors que de nombreuses entreprises traitaient les données sensibles des débiteurs de manière professionnelle et apportaient des améliorations en matière de transparence et de suppression des données, une entreprise présentait des lacunes importantes. Un nombre à six chiffres d'enregistrements de données est resté stocké malgré l'expiration des délais de suppression, en violation de l'article 5, paragraphe 1, point a), et de l'article 6, paragraphe 1, du RGPD.
L'entreprise a reconnu l'infraction, a coopéré à l'enquête et a accepté l'amende. Cette coopération a été prise en compte dans le calcul de l'amende.
Thomas Fuchs, directeur du HmbBfDI, a souligné l'importance d'un concept de suppression cohérent pour les entreprises pilotées par les données. Les données devraient être supprimées au plus tard après des délais définis afin d'éviter toute violation du RGPD.
Vodafone España : 200 000 euros (Espagne)
L'autorité espagnole de protection des données Agencia Española de Protección de Datos (AEPD) a infligé une amende de 200.000 euros à Vodafone Espagne pour avoir enfreint l'article 6, paragraphe 1 du RGPD. L'affaire concernait une demande frauduleuse de carte SIM supplémentaire, qui a été approuvée sans contrôles de sécurité suffisants. Cela a entraîné par la suite un accès non autorisé à des données à caractère personnel.
Le 1er décembre 2022, une tierce personne a demandé à Lowi, une marque de Vodafone, la livraison d'une carte SIM supplémentaire via l'espace privé du compte client concerné. A cette occasion, une adresse de livraison différente a été indiquée. Vodafone a validé la carte et l'a livrée sans vérifier suffisamment l'identité du demandeur.
L'examen effectué par l'AEPD a révélé que les procédures de sécurité requises n'étaient pas entièrement mises en œuvre. Par exemple, il n'y avait pas d'enregistrement de l'appel pour vérifier l'identité, et d'autres mesures de sécurité n'étaient pas correctement documentées. La fraude a permis à son auteur d'accéder aux données et aux comptes sensibles du client concerné. Le 30 novembre 2022, il y avait déjà eu deux tentatives infructueuses de modifier l'adresse électronique du client concerné, ce qui aurait pu indiquer une possible tentative de fraude.
L'AEPD a constaté que Vodafone avait enfreint l'article 6, paragraphe 1, du RGPD, étant donné que le traitement des données à caractère personnel avait été effectué sans base juridique valable et sans le consentement de la personne concernée. Bien que Vodafone ait mis en place des mesures de sécurité, l'AEPD a jugé que les mesures prises étaient insuffisantes et a reproché à l'entreprise son manque de diligence. L'amende de 200.000 euros a été fixée en tenant compte des infractions répétées de Vodafone dans des cas similaires, afin d'avoir un effet dissuasif. L'appel a été rejeté par l'AEPD.
Source : Amende infligée à Vodafone España par l'Agencia Española de Protección de Datos
Source : Avis de refus de l'Agencia Española de Protección de Datos
French 
German 
English 
Italian