Vueling s'est vu infliger une amende de 30 000 euros pour sa politique en matière de cookies

L'autorité espagnole de protection des données (AEPD) a infligé une lourde amende de 30 000 euros à la compagnie aérienne Vueling pour utilisation illégale de cookies sur son site web. Les utilisateurs qui ont accès au site n'ont pas la possibilité de configurer ni de supprimer les cookies qui sont installés sur leur ordinateur.

gdpr_artikel-boeteveuling

Dans sa politique en matière de cookies, Vueling dit aux utilisateurs ce que sont les cookies et quels types de cookies sont utilisés. On leur communique également que leurs données ne seront utilisées que de manière anonyme à des fins d'évaluation et de calculs statistiques et que « ces données ne seront pas employées à d'autres fins ». Ce dont l'entreprise ne parle pas, par contre, c'est d'un système de gestion ou de configuration permettant à l'utilisateur de gérer ou de supprimer efficacement ces cookies.

 

Le manque de transparence et de liberté de choix est une violation de la LSSI – la loi espagnole relative aux services de la société de l'information et du commerce électronique – et du RGPD. Selon le RGPD, tout utilisateur a le droit de retirer son consentement pour l'utilisation de ses données personnelles et d'être ‘oublié’, c'est-à-dire que toutes ses données personnelles doivent être supprimées. En ne permettant pas aux utilisateurs de modifier ou de supprimer les cookies, Vueling a agi contre cette mesure, ce qui a valu à la société d'être sanctionnée d'une amende de 30.000 euros.

Dans la pratique, ce type de violations est assez fréquent. L'autorité de protection des données (GBA) reçoit régulièrement des plaintes ou des dénonciations concernant la politique des entreprises en matière de cookies. Tout comme en Espagne, la GBA dispose d'un pouvoir suffisant pour imposer des amendes ou d'autres sanctions. Il est donc important que vous, en tant qu'entreprise, preniez les mesures nécessaires pour éviter les amendes d'une telle ampleur.

 

Source : European Data Protection Board



 

 

  141