En novembre 2024, trois amendes de plusieurs millions ont été infligées à des entreprises espagnoles, italiennes et finlandaises. Dans deux cas, les autorités de protection des données ont critiqué le fait que le principe "Privacy by Design" n'était que très insuffisamment mis en œuvre dans les processus de traitement des données. Et comme c'est souvent le cas, les amendes infligées offrent des enseignements intéressants pour les entreprises.
The Phone House Spain : 6,5 millions d'euros (Espagne)
Le 14 avril 2021, The Phone House Spain, S.L. (TPHS) a signalé une grave violation de données à l'Agencia Española de Protección de Datos (AEPD), l'autorité espagnole de protection des données. Environ 13 millions de données ont été touchées. L'attaque a eu lieu via une Ransomware (Babuk Locker), la sensible données à caractère personnel a été cryptée. Les données ont ensuite été publiées sur le Dark Web.
L'AEPD a estimé qu'il y avait eu violation de l'article 5, paragraphe 1, point f). RGPD (Intégrité et Confidentialité) et l'art. 32 RGPD (mesures techniques et organisationnelles). Concrètement, l'AEPD a accusé l'entreprise de téléphonie mobile de mesures de sécurité insuffisantes, telles que des règles de mot de passe inadéquates, des mesures de sécurité réseau faibles et l'absence de vérifications régulières.
The Phone House, quant à elle, s'est considérée comme victime d'une cyber-attaque sophistiquée. L'entreprise a expliqué que même les mesures de sécurité les plus avancées n'avaient peut-être pas offert une protection totale. En outre, la publication ultérieure des données sur le dark web était hors de son contrôle.
Néanmoins, l'AEPD a imposé une Amende d'un montant de 6,5 millions d'euros. Dans l'avis d'amende, elle justifie cette décision par la mise en œuvre insuffisante de mesures de sécurité préventives et par le nombre élevé de personnes concernées. L'AEPD souligne l'obligation des entreprises de mettre en œuvre de manière proactive des mesures de sécurité appropriées en fonction des risques. L'AEPD a refusé de faire appel de la décision.
Source : L'Agencia Española de Protección de Datos inflige une amende à The Phone House
Source : Décision de rejet de l'Agencia Española de Protección de Datos concernant l'opposition de The Phone House
Foodinho : 5 millions d'euros (Italie)
La procédure a été déclenchée par l'accident tragique d'un chauffeur qui a perdu la vie lors d'une livraison pour le service de livraison Foodinho. Après la désactivation de son compte par un système automatisé de la plateforme Glovo, le Décédés un message inapproprié l'excluant de la plate-forme pour de prétendues violations de contrat. Le message a non seulement suscité l'intérêt du public, mais a également donné lieu à de vastes enquêtes sur la protection des données.
L'autorité italienne de protection des données Garante per la protezione dei dati personali (GPDP) a constaté, lors de ses enquêtes, des lacunes massives dans le traitement des données, qui ne concernaient pas seulement ce cas particulier, mais l'ensemble de l'infrastructure de traitement des données de Foodinho. Une attention particulière a été accordée au traitement automatisé des données et à l'utilisation de la technologie de pointe. Transparence des conditions d'utilisation. Ainsi, des données à caractère personnel d'environ 35.000 chauffeurs enregistrés ont été traitées de manière illégale. Foodinho a notamment utilisé des méthodes d'authentification biométriques sans avoir suffisamment clarifié et documenté leur base juridique.
Foodinho a notamment utilisé des méthodes d'authentification biométrique sans clarifier ni documenter suffisamment leur base juridique. De même, l'"Excellence Score", un système d'évaluation des conducteurs, reposait sur un traitement automatisé des données qui n'était ni suffisamment documenté ni expliqué de manière compréhensible aux utilisateurs.
L'autorité de protection des données a imposé une Amende d'un montant de cinq millions d'euros et a appelé à de nouvelles mesures correctives. Elle a souligné la nécessité de Protection des données intégrer dès le départ dans les processus ("privacy by design").
Source : Amende infligée par le Garante per la protezione dei dati personali à Foodinho
Posti Jakelu Oy : 2,4 millions d'euros (Finlande)
L'enquête a commencé par des plaintes d'utilisateurs selon lesquelles des documents personnels - y compris des factures et des dossiers médicaux sensibles - étaient transmis à la boîte aux lettres numérique d'OmaPosti sans leur consentement explicite. Certains utilisateurs ont indiqué qu'ils n'utilisaient pas activement le service ou qu'ils refusaient la communication postale numérique pour des raisons personnelles. L'autorité finlandaise de protection des données, Tietosuojavaltuutetun toimisto, a alors lancé un examen complet des pratiques de traitement des données de la plate-forme postale Posti Jakelu Oy.
L'autorité finlandaise de protection des données a constaté d'importantes lacunes dans le traitement des données, en violation de plusieurs dispositions du RGPD :
- Activation automatique des boîtes aux lettres : Posti Jakelu Oy a créé des boîtes aux lettres numériques pour les utilisateurs sans leur consentement explicite. Consentement de l'État. Cela était contraire à l'article 6 RGPD, qui fournit une base juridique claire pour Traitement des données à caractère personnel.
- Manque de TransparenceLes utilisateurs n'ont pas été suffisamment informés du fait que leurs données à caractère personnel seraient automatiquement transférées vers la boîte aux lettres numérique. Cela était contraire aux articles 12 à 14 RGPDqui Transparence et exiger une information claire des personnes concernées.
- Absence de choix : les utilisateurs n'ont pas eu la possibilité de refuser le service ou de Transmission de leurs données. Cela constitue un Violation contrevient aux principes fondamentaux du traitement des données visés à l'article 5 RGPD est.
En particulier, l'activation automatique des boîtes aux lettres numériques sans le consentement actif des utilisateurs a été jugée plus grave. Violation de l'Union européenne. L'autorité a précisé que la création d'une boîte postale numérique n'était pas obligatoire pour la fourniture d'autres services et ne constituait donc pas une base juridique valable au sens de l'article 6 RGPD est disponible.
Outre l'imposition d'une amende de 2,4 millions d'euros, l'autorité finlandaise de protection des données a ordonné à Posti Jakelu Oy de revoir ses pratiques de traitement des données afin d'assurer la conformité avec le RGPD. Les principales exigences comprenaient
- Des informations claires et transparentes pour les utilisateurs, afin de leur permettre d'accéder à la Traitement de leurs données ou de les refuser.
- Mise en place de mesures techniques et organisationnelles garantissant que les processus de traitement des données respectent les principes de "privacy by design" et de "privacy by default".
- Veiller à ce que les boîtes aux lettres électroniques ne soient activées que sur demande expresse des utilisateurs.
Prestataires de services dans le secteur de la gestion des créances : 900.000 euros (Allemagne)
Le délégué hambourgeois à la protection des données et à la liberté d'information (HmbBfDI), a lancé une procédure contre une entreprise du secteur de la gestion des créances. Amende d'un montant de 900 000 euros. La raison : l'entreprise avait données à caractère personnel sans base légale, sont conservées jusqu'à cinq ans après l'expiration des délais légaux de suppression.
Le site Violation a été constaté dans le cadre d'un contrôle ciblé, au cours duquel le HmbBfDI a vérifié que les entreprises leaders du marché dans le secteur RGPD a vérifié. Outre des entretiens écrits, des contrôles ont également été effectués sur place. Alors que de nombreuses entreprises traitaient les données sensibles des débiteurs avec professionnalisme et apportaient des améliorations à Transparence et d'effacement des données, une entreprise présentait des lacunes importantes. Un nombre à six chiffres d'enregistrements est resté stocké malgré l'expiration des délais de suppression, en violation de l'article 5, paragraphe 1, point a), et de l'article 6, paragraphe 1, de la directive sur la protection des données. RGPD n'a pas été respectée.
L'entreprise a reconnu les Violation a coopéré à l'enquête et a accepté le rapport d'enquête. Amende. Cette coopération a été prise en compte dans le calcul de l'amende.
Thomas Fuchs, directeur du HmbBfDI, a souligné l'importance d'un concept de suppression cohérent pour les entreprises pilotées par les données. Les données devraient être supprimées au plus tard après des délais définis afin d'éviter toute violation du RGPD.
Vodafone España : 200 000 euros (Espagne)
L'Agencia Española de Protección de Datos (AEPD), l'autorité espagnole chargée de la protection des données, a notifié à Vodafone Espagne une infraction à l'article 6, paragraphe 1, de la loi sur la protection des données. RGPD a infligé une amende de 200 000 euros. L'affaire concernait une demande frauduleuse de carte SIM supplémentaire, qui a été approuvée sans contrôles de sécurité suffisants. Cela a conduit plus tard à un accès non autorisé à données à caractère personnel.
Le 1er décembre 2022, une femme a déposé une demande d'aide financière auprès de la Commission européenne. troisième personne, via l'espace privé du compte client concerné chez Lowi, une marque de Vodafone, la livraison d'une carte SIM supplémentaire. Ce faisant, elle a indiqué une adresse de livraison différente. Vodafone a validé la carte et l'a livrée sans vérifier suffisamment l'identité du demandeur.
L'examen effectué par l'AEPD a révélé que les procédures de sécurité requises n'étaient pas entièrement mises en œuvre. Par exemple, il n'y avait pas d'enregistrement de l'appel pour vérifier l'identité, et d'autres mesures de sécurité n'étaient pas correctement documentées. La fraude a permis à son auteur d'accéder aux données et aux comptes sensibles du client concerné. Le 30 novembre 2022, il y avait déjà eu deux tentatives infructueuses de modifier l'adresse électronique du client concerné, ce qui aurait pu indiquer une possible tentative de fraude.
L'AEPD a constaté que Vodafone avait violé l'article 6, paragraphe 1, de la directive sur la protection des données. RGPD a enfreint la directive, car la Traitement des données personnelles sans base juridique valable et sans Consentement de la personne concernée. Bien que Vodafone ait mis en place des mesures de sécurité, l'AEPD a estimé que les mesures prises étaient insuffisantes et a reproché à l'entreprise son manque de diligence. L'amende de 200.000 euros a été fixée en tenant compte des infractions répétées de Vodafone dans des cas similaires, afin d'avoir un effet dissuasif. L'appel a été rejeté par l'AEPD.
Source : Amende infligée à Vodafone España par l'Agencia Española de Protección de Datos
Source : Avis de refus de l'Agencia Española de Protección de Datos
German 
English 
Italian 
French