En décembre 2024, les autorités européennes de protection des données ont continué à infliger des amendes de plusieurs millions d'euros. Ainsi, une amende de 251 millions d'euros a été infligée à la seule société Meta. Le groupe de téléphonie mobile Orange s'est vu infliger une amende de 50 millions d'euros. Et une amende de 15 millions d'euros a été infligée à la société ChatGPT.
Meta Platforms Ireland Ltd : 251 millions d'euros (Irlande)
Le 17 décembre 2024, la Commission irlandaise de protection des données (DPC) a annoncé ses décisions finales concernant deux enquêtes menées à l'encontre de Meta Platforms Ireland Limited. Ces enquêtes ont été ouvertes d'office par la DPC après que Meta a signalé une violation de la protection des données à caractère personnel en septembre 2018. L'incident concernait environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions de comptes d'utilisateurs de l'UE. Les données personnelles compromises comprenaient le nom complet, l'adresse électronique, le numéro de téléphone, la localisation, le lieu de travail, la date de naissance, la religion, le sexe, les publications de la timeline, l'appartenance à des groupes et même des données concernant des enfants.
La violation de données a été causée par l'exploitation de jetons d'utilisateurs par des tiers non autorisés sur la plateforme Facebook. Meta et sa société mère aux États-Unis ont remédié à l'incident peu après sa découverte. Néanmoins, après un examen approfondi, la DPC a constaté plusieurs violations du règlement général sur la protection des données (RGPD) et a infligé des amendes d'un montant total de 251 millions d'euros. Les infractions en détail :
- Article 33, paragraphe 3, du RGPD - Meta n'a pas fourni toutes les informations requises par cette disposition lors de la notification d'une violation de données, alors que cela aurait été possible. Pour cela, le DPC a infligé une amende de 8 millions d'euros.
- Article 33, paragraphe 5, du RGPD - Meta n'a pas documenté de manière adéquate les faits relatifs à chaque incident et les mesures correctives prises afin de permettre à l'autorité de contrôle de vérifier la conformité. Une amende de 3 millions d'euros a été infligée pour cette infraction.
- Article 25, paragraphe 1, du RGPD - Meta n'a pas tenu compte des principes de protection des données dès la phase de conception des systèmes de traitement. Cette infraction a été sanctionnée par une amende de 130 millions d'euros.
- Article 25, paragraphe 2, du RGPD - Meta n'a pas respecté son obligation, en tant que responsable du traitement, de veiller à ce que les données à caractère personnel ne soient traitées, par défaut, qu'à des fins déterminées. Cette infraction a été sanctionnée par une amende de 110 millions d'euros.
Source : Communiqué de la Commission irlandaise de protection des données
Orange SA : 50 millions d'euros (France)
La Commission Nationale de l'Informatique et des Libertés (CNIL) française a annoncé le 10 décembre 2024 qu'elle avait infligé une amende de 50 millions d'euros à Orange SA, le principal opérateur de télécommunications français.
Lors de son enquête, la CNIL a constaté qu'Orange plaçait dans la boîte de réception des utilisateurs des publicités qui, visuellement, ne se distinguaient guère des courriels ordinaires. En vertu de l'article L. 34-5 du CPCE, toute forme de prospection commerciale par voie électronique requiert le consentement préalable des personnes concernées. Cette pratique était contraire à la jurisprudence de la Cour de justice des Communautés européennes (CJCE), selon laquelle toute publicité apparaissant dans la boîte de réception d'un utilisateur est considérée comme une utilisation du courrier électronique à des fins de prospection et n'est autorisée qu'avec le consentement exprès de l'utilisateur. Bien qu'Orange ait mis fin à cette pratique en novembre 2023 et utilise depuis lors des publicités plus clairement identifiées, la CNIL a considéré que la mise en œuvre antérieure constituait une infraction grave. Le nombre élevé d'utilisateurs concernés - plus de 7,8 millions - ainsi que l'avantage financier qu'Orange a tiré de la vente des espaces publicitaires ont été pris en compte dans le calcul de l'amende.
En outre, la CNIL a constaté que les cookies placés par les utilisateurs continuaient à être lus par Orange malgré le retrait de leur consentement. L'article 82 de la loi Informatique et Libertés prévoit que tout stockage ou traitement ultérieur d'informations dans un équipement terminal ne peut être effectué qu'avec le consentement exprès de l'utilisateur et que ce consentement doit pouvoir être retiré à tout moment. Cette pratique porte non seulement atteinte à la relation de confiance entre l'utilisateur et le fournisseur, mais elle est également contraire aux principes fondamentaux du Règlement général sur la protection des données (RGPD) et de la Loi Informatique et Libertés (LIL). La CNIL a considéré que la pratique d'Orange constituait une violation manifeste de ces dispositions, dans la mesure où les utilisateurs n'avaient pas la certitude que leur retrait était techniquement mis en œuvre. La CNIL a souligné qu'il était de la responsabilité d'Orange de mettre en œuvre des solutions techniques empêchant la lecture des cookies après une révocation. En ce qui concerne les cookies placés par des partenaires d'Orange, il est de la responsabilité de l'entreprise de s'assurer que ces partenaires prennent également des mesures appropriées.
Outre l'amende de 50 millions d'euros, la CNIL a également prononcé une injonction de cesser la lecture illicite des cookies dans un délai de trois mois. Une astreinte de 100.000 euros a été fixée pour chaque jour de retard.
OpenAI : 15 millions d'euros (Italie)
L'autorité italienne de protection des données (Garante per la Protezione dei Dati Personali) a infligé une amende de 15 millions d'euros à OpenAI, la société derrière le chatbot basé sur l'IA ChatGPT.
L'enquête a été lancée en mars 2023 après que l'autorité de protection des données a constaté des violations liées au traitement des données à caractère personnel par OpenAI. Les principaux reproches formulés à l'encontre d'OpenAI comprenaient les éléments suivants :
- Non-notification d'une violation de données : OpenAI n'a pas notifié correctement à l'autorité une violation de données survenue en mars 2023.
- Base juridique insuffisante pour le traitement des données (violation de l'article 6 du RGPD) : OpenAI a traité des données à caractère personnel d'utilisateurs et de non-utilisateurs pour le développement et la formation de ChatGPT sans base juridique appropriée.
- Violation du principe de transparence : OpenAI n'a pas suffisamment informé les personnes concernées sur le traitement de leurs données, comme l'exigent les articles 12 et 13 du RGPD.
- Absence de vérification de l'âge (violation de l'article 8 du RGPD) : L'absence de vérification de l'âge a eu pour conséquence d'exposer les enfants de moins de 13 ans à des contenus potentiellement inappropriés.
L'autorité italienne de protection des données n'a pas seulement infligé une amende de 15 millions d'euros, mais a également fait usage pour la première fois des pouvoirs conférés par l'article 166 de la loi italienne sur la protection des données. OpenAI a été obligé de mener une vaste campagne d'information à la radio, à la télévision, dans la presse écrite et sur Internet. L'objectif de cette mesure est d'informer le public sur le fonctionnement de ChatGPT ainsi que sur la collecte des données et les droits des personnes concernées. Cette campagne de six mois vise à informer les utilisateurs et les non-utilisateurs de la manière dont ils peuvent exercer leurs droits d'opposition, d'effacement et de rectification conformément au RGPD.
OpenAI ayant désormais son siège européen en Irlande, les procédures ont été transférées à l'autorité irlandaise de protection des données, qui mène désormais des enquêtes supplémentaires en tant qu'autorité de contrôle principale.
Source : Avis de contravention Garante per la Protezione dei Dati Personali contre OpenAI
Netflix International BV : 4,75 millions d'euros (Pays-Bas)
L'autorité néerlandaise de protection des données Autoriteit Persoonsgegevens (AP) a infligé à Netflix International B.V. une amende de 4,75 millions d'euros. Le service de streaming a été sanctionné pour plusieurs infractions au règlement général sur la protection des données (RGPD), notamment pour le manque de transparence de sa politique de confidentialité et le non-respect des obligations d'information en matière de réponse aux demandes de renseignements.
Il a été reproché à Netflix que sa politique de confidentialité ne contenait pas suffisamment d'informations sur les finalités et les bases juridiques du traitement des données. Les informations relatives aux destinataires des données personnelles, aux délais de conservation et au transfert international des données étaient également incomplètes. En outre, Netflix ne répondait pas de manière suffisamment concrète aux demandes d'information des clients. Ces violations se rapportent aux articles 12, 13 et 15 du RGPD, qui obligent les entreprises à traiter les données à caractère personnel de manière transparente, compréhensible et accessible.
L'enquête a été lancée après que l'organisation "None Of Your Business" (NOYB) a déposé des plaintes au nom de personnes concernées. NOYB critiquait le fait que Netflix ne fournissait pas d'informations détaillées sur les finalités du traitement des données, les catégories de données concernées ou les destinataires lorsqu'elle répondait aux demandes d'information. Ces lacunes entravaient l'exercice des droits des personnes concernées, tels que le droit à l'effacement ou le droit d'opposition.
Dans sa décision publiée le 18 décembre 2024, le CEPD a constaté que les violations pouvaient avoir un impact significatif sur les droits et libertés des personnes concernées, étant donné que Netflix compte des millions d'utilisateurs dans le monde, dont une partie importante réside dans l'Union européenne. Netflix a toutefois été crédité d'avoir révisé et amélioré sa politique de confidentialité à plusieurs reprises au cours de la procédure. Néanmoins, les modifications apportées ont été jugées insuffisantes pour se conformer pleinement aux exigences du RGPD.
L'amende infligée tient compte à la fois de la gravité des infractions et de la position de Netflix sur le marché. L'AP a souligné que la transparence et la protection des données à caractère personnel sont des piliers centraux du RGPD et que les violations de ces principes ne peuvent être tolérées. En outre, la sanction doit également avoir un effet dissuasif afin de garantir le respect des règles de protection des données. Netflix a fait appel de l'amende.
Telefonica des España : 1,3 million d'euros (Espagne)
L'Agencia Española de Protección de Datos (AEPD), l'autorité espagnole de protection des données, a infligé une amende de 1,3 million d'euros à Telefónica après que les données personnelles de ses clients aient été compromises par une faille de sécurité. L'entreprise de téléphonie mobile avait découvert en septembre 2022 un incident de sécurité au cours duquel des inconnus s'étaient introduits dans le réseau de l'entreprise en utilisant les données de connexion des employés pour voler des données.
L'enquête a révélé que 1.021.253 personnes étaient concernées par la faille de sécurité, y compris des clients des filiales Movistar et O2. L'AEPD a constaté que les mesures techniques et organisationnelles prises pour protéger les données collectées n'étaient pas suffisantes. Celles-ci auraient pu empêcher l'erreur. Par exemple, le nom d'utilisateur et le mot de passe étaient suffisants pour se connecter avec succès au réseau de l'entreprise.
L'amende se compose de deux sanctions : 500.000 euros pour la violation de l'article 5, paragraphe 1, point f) du RGPD et 800.000 euros pour la violation de l'article 32 du RGPD.
Source : L'Agencia Española de Protección de Datos inflige une amende à Telefonica