Les entreprises européennes se voient infliger les premières amendes suite à l’entrée en vigueur du RGPD

Des amendes jusqu'à 50 millions d'euros. Un an après l'introduction du RGPD, un certain nombre d'entreprises étrangères se sont fait prendre et de lourdes amendes ont été imposées. Bien sûr, toutes les infractions ne s'accompagnent pas de sanctions d'une telle ampleur, mais les coûts peuvent néanmoins être élevés. Tout qui ne gère pas correctement les données ou ne signale pas une fuite à temps peut se voir infliger une amende allant jusqu'à 2 % de son chiffre d'affaires annuel. En cas de fautes graves, une amende de 4 % du chiffre d'affaires mondial est même prévue. Ainsi, l'an dernier en France, Google a été condamnée à une amende record de 50 millions d'euros. Google n'est pas la seule dans cette situation ; de nombreuses autres petites et grandes entreprises et organisations à but non lucratif ont été punies conformément aux règles du RGPD. Curieux(se) de savoir quelles sanctions ont déjà été imposées ? Nous avons mis en lumière quelques cas particuliers qui se sont produits à l'étranger.

gdpr_artikel_boetes

Pays-Bas

Chez nos voisins du nord, ce sont surtout les organisations gouvernementales et le secteur médical qui ont été visés par la réglementation du RGPD. Ainsi, la police nationale a reçu une lourde amende pour ne pas avoir garanti la sécurité du traitement et du stockage des données (civiles). Étant donné que la police nationale dispose d'un grand nombre d'informations sensibles, celles-ci doivent être correctement sécurisées et l'accès aux données doit être contrôlé régulièrement et de manière proactive.

Suite à des vérifications effectuées par l'Autorité Néerlandaise des Données personnelles (NAP), la police nationale s'est vu imposer certaines mesures de sécurité nécessaires, comme un contrôle régulier et proactif des fichiers journaux et l'établissement d'un plan de sécurité.

De nouvelles vérifications ont révélé que les efforts déployés pour améliorer la situation étaient insuffisants. Par conséquent, le PAN a condamné la police nationale à une amende de 40 000 euros.

France

A l'instar de nos voisins hollandais, la France inflige elle aussi des amendes. Ainsi, la société de ciblage publicitaire Vectaury, par exemple, a reçu un avis d'infraction à l'obligation de fournir des informations et au consentement explicite.

La Commission Nationale de l'Informatique et des Libertés (CNIL) a jugé qu'il ne suffisait pas de proposer un bouton d'acceptation pour obtenir le consentement, sans information complémentaire expliquant exactement à quoi servait cette autorisation. Lorsque le consentement est demandé, par exemple à des fins de marketing direct, toutes les entreprises auxquelles les données peuvent être transmises doivent également être explicitement mentionnées. La société Vectaury ne remplissait pas ces critères et a été condamnée.

Il convient de noter qu'en France, l'accent n'est pas mis uniquement sur les infractions commises par les grandes entreprises. Une asbl française a également été condamnée en juin à une amende de 75 000 euros pour avoir utilisé des données personnelles à des fins autres que celles stipulées et communiquées.

Allemagne

En Allemagne, la société de transport Kolibri Image a été condamnée à une amende de 5 000 euros pour ne pas avoir conclu un accord de traitement avec un sous-traitant. Un sous-traitant est une personne ou une société externe qui traite des données à caractère personnel pour le compte d'une entreprise, comme une société informatique qui entretient le serveur ou un comptable.

L'absence d'un tel document a été mise au jour parce que l'entreprise de transport n'a pas été en mesure de se conformer à une demande d'inspection. La vérification a révélé l'absence d'un accord de sous-traitance prévoyant la collaboration de sous-traitants dans les demandes effectuées aux personnes concernées. L'absence d'un tel accord de sous-traitance a été considérée comme une violation du RGPD et sanctionnée par une amende.

Royaume-Uni

L'année dernière, l'Information Commissioner’s Office (ICO) a été débordé par les infractions aux règles du RGPD, en particulier lors des campagnes du Brexit. De nombreux groupes de pression et courants politiques ont reçu des amendes pour avoir envoyé des communications de marketing direct (flyers, folders, lettres, ...) sans autorisation préalable.

Vote Leave et Eldon Insurance ont reçu une amende de 120 000 £ pour avoir envoyé des messages de marketing politique. Leave.EU Group Limited a été condamné à deux reprises pour avoir envoyé 300 000 communications en une journée sans autorisation. Le coût s'élevait à 60 000 £.

L'ICO indique que, lors de l'achat d'adresses e-mail, il ne suffit pas d'imposer contractuellement au vendeur que celui-ci obtienne le consentement de toutes les adresses, l'acheteur doit être en mesure de prouver le consentement individuel.

Et en Belgique ?

L’Autorité belge de protection des données (APD) a récemment infligé une première amende de 2 000 euros pour non-respect des règles européennes en matière de protection de la vie privée. La raison ? L’APD a reçu une plainte au sujet d’un bourgmestre qui avait utilisé à mauvais escient des adresses e-mail pour la communication électorale. Avec cette première sanction, l’APD est définitivement sortie des starting-blocks, marquant ainsi la fin de l’impunité en Belgique. Afin d’éviter les sanctions et de ne pas dégrader votre image, il vaut donc mieux prendre les mesures nécessaires dès maintenant !

 

Source : Mr. Franklin 

 

 

  13299