En décembre 2024, les autorités européennes de protection des données ont continué à infliger des amendes de plusieurs millions d'euros. Ainsi, rien que contre Meta, un Amende d'un montant de 251 millions d'euros. Une amende de 50 millions d'euros a été infligée à l'entreprise de téléphonie mobile Orange. Et une amende de 15 millions d'euros a été infligée à la société ChatGPT.
Meta Platforms Ireland Ltd : 251 millions d'euros (Irlande)
Le 17 décembre 2024, la Commission irlandaise de protection des données (DPC) a annoncé ses décisions finales concernant deux enquêtes menées à l'encontre de Meta Platforms Ireland Limited. Ces enquêtes ont été ouvertes d'office par la DPC après que Meta a signalé une violation de la protection des données à caractère personnel en septembre 2018. L'incident concernait environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions de comptes d'utilisateurs de l'UE. Les données personnelles compromises comprenaient le nom complet, l'adresse électronique, le numéro de téléphone, la localisation, le lieu de travail, la date de naissance, la religion, le sexe, les publications de la timeline, l'appartenance à des groupes et même des données concernant des enfants.
Le site Panne de données a été compromise par l'exploitation de jetons d'utilisateurs par des personnes non autorisées. Troisième sur la plate-forme Facebook. Meta et sa société mère aux États-Unis ont remédié à l'incident peu après sa découverte. Néanmoins, après un examen approfondi, la DPC a constaté plusieurs violations du RGPD (RGPD) et a infligé des amendes d'un montant total de 251 millions d'euros. Les infractions en détail :
- Article 33, troisième alinéa RGPD - Meta a fait une erreur lors de la déclaration d'une Panne de données n'a pas fourni toutes les informations requises par cette disposition, alors que cela aurait été possible. Pour cela, le DPC a infligé une amende de 8 millions d'euros.
- Article 33, cinquième alinéa RGPD - Meta n'a pas documenté de manière adéquate les faits relatifs à chaque incident et les mesures correctives prises afin d'informer le Autorité de surveillance de permettre une vérification de la conformité. Pour ce Violation une amende de 3 millions d'euros a été infligée.
- Article 25, premier alinéa RGPD - Meta n'a pas pris en compte les principes de protection des données dès la phase de conception des systèmes de traitement. Ce Violation a été sanctionné par une amende de 130 millions d'euros.
- Article 25, deuxième alinéa RGPD - Meta n'a pas respecté son obligation, en tant que responsable, de veiller à ce que données à caractère personnel être traitées par défaut uniquement à des fins spécifiques. Ce Violation a été sanctionné par une amende de 110 millions d'euros.
Source : Communiqué de la Commission irlandaise de protection des données
Orange SA : 50 millions d'euros (France)
L'autorité française de protection des données "Commission Nationale de l'Informatique et des Libertés"La Commission nationale de l'informatique et des libertés (CNIL) a annoncé le 10 décembre 2024 qu'elle avait ouvert une procédure d'infraction à l'encontre du principal opérateur de télécommunications français, Orange SA. Amende d'un montant de 50 millions d'euros.
Lors de son enquête, la CNIL a constaté qu'Orange plaçait des publicités dans la boîte de réception des utilisateurs, qui ne se distinguaient guère visuellement des e-mails réguliers. En vertu de l'article L. 34-5 CPCE, toute forme de communication électronique doit Publicité la précédente Consentement des personnes concernées est nécessaire. Cette pratique était en Opposition sur la jurisprudence de la Cour de justice des Communautés européennes (CJCE), selon laquelle toute PublicitéL'utilisation d'un message électronique qui apparaît dans la boîte de réception d'un utilisateur est considérée comme une utilisation du courrier électronique à des fins publicitaires et n'est autorisée qu'avec le consentement exprès de l'utilisateur. Consentement de l'utilisateur est autorisée. Bien qu'Orange ait mis fin à cette pratique en novembre 2023 et qu'elle ait depuis lors clairement identifié des Publicité la CNIL a considéré que la mise en œuvre précédente constituait une faute grave. Violation a été introduite. Le nombre élevé d'utilisateurs concernés - plus de 7,8 millions - ainsi que l'avantage financier qu'Orange a tiré de la vente des espaces publicitaires ont été pris en compte dans le calcul de l'amende.
En outre, la CNIL a constaté que les paramètres définis par les utilisateurs Cookies malgré la révocation de la Consentement ont continué à être lus par Orange. L'article 82 de la loi Informatique et Libertés prévoit que tout stockage ou traitement ultérieur d'informations sur les terminaux ne peut être effectué qu'avec l'autorisation expresse d'Orange. Consentement de l'utilisateur et qu'elles sont Consentement doit être révocable à tout moment. Cette pratique ne porte pas seulement atteinte à la relation de confiance entre l'utilisateur et le fournisseur, elle est également en contradiction avec la loi. Opposition sur les principes fondamentaux du RGPD (RGPD) et de la loi Informatique et Libertés. La CNIL a considéré que la pratique d'Orange constituait une violation manifeste de la loi. Violation à ces règles, car les utilisateurs ne pouvaient pas être sûrs que leur Révocation a été techniquement mise en œuvre. La CNIL a souligné qu'il était de la responsabilité d'Orange de mettre en œuvre des solutions techniques permettant la lecture des Cookies après un Révocation empêcher l'apparition de la maladie. Sur CookiesEn cas de violation de ces règles par des partenaires d'Orange, l'entreprise est responsable de la mise en œuvre de mesures appropriées par ces partenaires.
Outre l'amende de 50 millions d'euros, la CNIL a également prononcé une injonction d'interdire la lecture non autorisée des Cookies dans un délai de trois mois. Une astreinte de 100.000 euros a été fixée pour chaque jour de retard.
OpenAI : 15 millions d'euros (Italie)
L'autorité italienne de protection des données (Garante per la Protezione dei Dati Personali) a infligé une amende de 15 millions d'euros à OpenAI, la société derrière le chatbot basé sur l'IA ChatGPT.
L'enquête a été lancée en mars 2023 après que l'autorité de protection des données a constaté des violations liées à la Traitement de données à caractère personnel par OpenAI. Les principales accusations contre OpenAI comprenaient
- Non-notification d'une violation de données : OpenAI avait signalé à l'autorité une violation de données survenue en mars 2023. Panne de données n'ont pas été dûment déclarés.
- Base juridique insuffisante pour le traitement des données (Violation contre l'article 6 RGPD) : OpenAI a données à caractère personnel d'utilisateurs et de non-utilisateurs pour le développement et la formation de ChatGPT sont traitées sans base légale appropriée.
- Violation contrevient au principe de transparence : OpenAI n'a pas suffisamment informé les personnes concernées des Traitement de leurs données, comme le prévoient les articles 12 et 13 de la loi sur la protection des données. RGPD de l'entreprise.
- Absence de vérification de l'âge (Violation contre l'art. 8 RGPD) : L'absence de vérification de l'âge a eu pour conséquence d'exposer les enfants de moins de 13 ans à des contenus potentiellement inappropriés.
L'autorité italienne de protection des données n'a pas seulement imposé un Amende d'un montant de 15 millions d'euros, mais a également fait usage pour la première fois des pouvoirs conférés par l'article 166 de la loi italienne sur la protection des données. OpenAI a été obligé de mener une vaste campagne d'information à la radio, à la télévision, dans la presse écrite et sur Internet. L'objectif de cette mesure est d'informer le public sur le fonctionnement de ChatGPT ainsi que sur la collecte de données et les droits des personnes concernées. La campagne, qui durera six mois, vise à informer les utilisateurs et les non-utilisateurs sur la manière d'exercer leurs droits de Opposition, Suppression et Rectification conformément au RGPD.
OpenAI ayant désormais son siège européen en Irlande, les procédures ont été transférées à l'autorité irlandaise de protection des données, qui agit désormais en tant que chef de file. Autorité de surveillance effectue des examens complémentaires.
Source : Avis de contravention Garante per la Protezione dei Dati Personali contre OpenAI
Netflix International BV : 4,75 millions d'euros (Pays-Bas)
L'autorité néerlandaise de protection des données Autoriteit Persoonsgegevens (AP) a engagé une procédure à l'encontre de Netflix International B.V. pour violation de la vie privée. Amende d'un montant de 4,75 millions d'euros. Le service de streaming a été condamné pour plusieurs infractions au règlement général sur la protection des données (RGPD), notamment pour défaut de Transparence dans sa directive sur la protection des données et le non-respect de Obligations d'information en répondant aux demandes de renseignements.
Il a été reproché à Netflix que sa politique de confidentialité ne donnait pas suffisamment d'informations sur les finalités et les Bases juridiques du traitement des données. Les informations relatives aux destinataires des données à caractère personnel, aux délais de conservation et au transfert international des données étaient également incomplètes. En outre, Netflix n'a pas répondu de manière suffisamment concrète aux demandes d'information des clients. Ces violations se réfèrent aux articles 12, 13 et 15 du RGPD, qui obligent les entreprises à le faire, données à caractère personnel de manière transparente, compréhensible et accessible.
L'enquête a été lancée après que l'organisation "None Of Your Business" (NOYB) a déposé des plaintes au nom de personnes concernées. NOYB critiquait le fait que Netflix ne fournissait pas d'informations détaillées sur les finalités du traitement des données, les catégories de données concernées ou les destinataires lorsqu'elle répondait aux demandes d'informations. Ces lacunes entravaient l'exercice des droits des personnes concernées, tels que le droit à l'information et le droit à la protection des données. Suppression ou le droit d'opposition.
Dans sa décision publiée le 18 décembre 2024, le CEPD a constaté que les violations pouvaient avoir un impact significatif sur les droits et libertés des personnes concernées, étant donné que Netflix compte des millions d'utilisateurs dans le monde, dont une partie importante réside dans l'Union européenne. Netflix a toutefois été crédité d'avoir révisé et amélioré sa politique de confidentialité à plusieurs reprises au cours de la procédure. Néanmoins, les modifications apportées ont été jugées insuffisantes pour se conformer pleinement aux exigences du RGPD.
L'amende infligée tient compte à la fois de la gravité des infractions et de la position de Netflix sur le marché. L'AP a souligné que Transparence et la protection des données personnelles sont des piliers centraux de la RGPD et que les violations de ces principes ne peuvent être tolérées. En outre, la sanction doit également avoir un effet dissuasif afin de garantir le respect des règles de protection des données. Netflix a fait appel de la Amende a fait appel.
Telefonica des España : 1,3 million d'euros (Espagne)
L'Agencia Española de Protección de Datos (AEPD), l'autorité espagnole de protection des données, a infligé une amende de 1,3 million d'euros à Telefónica après que les données personnelles de ses clients aient été compromises par une faille de sécurité. L'entreprise de téléphonie mobile avait découvert en septembre 2022 un incident de sécurité au cours duquel des inconnus s'étaient introduits dans le réseau de l'entreprise en utilisant les données de connexion des employés pour voler des données.
L'enquête a révélé que 1.021.253 personnes étaient concernées par la faille de sécurité, y compris des clients des filiales Movistar et O2. L'AEPD a constaté que les mesures techniques et organisationnelles prises pour protéger les données collectées n'étaient pas suffisantes. Celles-ci auraient pu empêcher l'erreur. Par exemple, le nom d'utilisateur et le mot de passe étaient suffisants pour se connecter avec succès au réseau de l'entreprise.
Le site Amende se compose de deux amendes : 500.000 euros pour le Violation contre l'article 5, paragraphe 1, sous f) RGPD et 800.000 euros pour le Violation contre l'art. 32 RGPD.
Source : L'Agencia Española de Protección de Datos inflige une amende à Telefonica
German 
English 
Italian 
French