Il n'a pas fallu longtemps après l'entrée en vigueur du RGPD le 25 mai 2018 pour que de nombreuses entreprises qui restaient sceptiques quant à l'idée que l'Europe imposerait des amendes en vertu du nouveau règlement sur la protection des données, révisent leurs positions et leurs positionnements professionnels.
La réalité du nombre de sanctions financières imposées par les institutions européennes aux entreprises après moins d'un an d'application du règlement général européen sur la protection des données a clairement montré que l'UE accorde une attention particulière au respect de la sécurité des données et de la vie privée de ses citoyens.
L'approche éducative de la conformité au RGPD
Les États membres disposent de cellules nationales de protection des données ou d'organes de contrôle indépendants (CRF - Cellules de Renseignement Financier) chargés de veiller au respect des principes fondamentaux de la protection des données à caractère personnel au niveau national.
Elles peuvent effectuer des vérifications dans les locaux de l'organisation ou en ligne. Les contrôles sont effectués sur la base des programmes annuels, des plaintes reçues ou des informations diffusées dans les médias. Pour certains pays où la réglementation sur la protection des données personnelles est historiquement stricte, les principes fondamentaux de la protection des données restent pour l'essentiel inchangés (sécurité des données, traitement équitable, délai de conservation, etc.) et continuent donc à être rigoureusement contrôlés par les autorités chargées de la protection des données.
D'autre part, les nouvelles obligations et les nouveaux droits découlant du RGPD font l'objet d'enquêtes et de contrôles de remédiation qui sont généralement non punitifs. L'objectif est d'aider les organisations à comprendre les enjeux et la mise en oeuvre opérationnelle des nouvelles dispositions ainsi que les avantages de la conformité.
Au cours des premiers mois de l'existence du nouveau cadre juridique européen de protection de la vie privée, les autorités nationales en la matière ont accompli un travail pédagogique considérable. Éduquer les entreprises et assurer la sensibilisation du RGPD dans les différents secteurs d'activité, publier des fiches d'information concrètes sur le droit à la vie privée, des guides sur les méthodologies de sécurité ou d'évaluation d'impact.
En Belgique, depuis le 25 mai 2018, l'Autorité de protection des données (DPA) a succédé à la Commission de la protection de la vie privée (mieux connue sous le nom de "Commission vie privée")
Quelles sont les dernières sanctions et mises en garde dans le cadre du RGPD ?
Sauf en cas d'atteinte grave à la protection des données ou de mauvaise foi délibérée, les autorités nationales de contrôle de la protection de la vie privée alertent, soutiennent et accompagnent les entreprises dans la mise en conformité avec le RGPD plutôt que d'imposer des amendes radicales pouvant atteindre 4% du chiffre d'affaires de l'entreprise.
Ces pouvoirs supplémentaires, tels que l'émission d'avertissements de non-conformité, la réalisation d'audits, la nécessité de mesures correctives spécifiques dans un délai déterminé, l'ordre d'effacement des données et la suspension des transferts de données vers un pays tiers, sont facilement accessibles aux autorités de contrôle de la protection des données et complètent les nouveaux types de sanctions.
Néanmoins, certains précédents ont déjà battu des records en ce qui concerne le nombre d'amendes infligées pour violation des principes de protection des données.
Parmi les nombreuses plaintes et procédures d'amende nationales en instance, de nombreuses sanctions ont déjà été imposées. Le tableau suivant fournit une liste non exhaustive et régulièrement mise à jour des sanctions imposées par les juridictions et autorités nationales européennes contre les organisations non conformes.
Les plus grosses amendes RGPD de 2023
Date
Entreprise
Pays
Info
Sanction
EU DPA
22/05
Meta
Mauvaise gestion du transfert de données à caractère personnel entre l'UE et les États-Unis.
1.2 milliard
04/01
Meta
Changement de la base juridique du traitement de leurs données, du consentement à l'exécution d'un contrat.
390.000.000
01/09
TikTok
Comment TikTok a traité les informations personnelles d'enfants de moins de 13 ans.
345.000.000
15/06
Criteo
N'a pas veillé à ce que les personnes concernées reçoivent un consentement explicite pour le traitement de leurs données.
40.000.000
04/04
TikTok
Collecte de données à caractère personnel concernant des enfants sans le consentement de leurs parents
14.500.000
Les plus grosses amendes RGPD de 2022
Date
Entreprise
Pays
Info
Amende EUR
EU DPA
28/07
Instagram
Violation des règles relatives au traitement des données des enfants sans base légale.
405.000.000
19/01
Enel Energia
Utilisation illégale des données des clients.
26.500.000
10/02
Clearview AI
Traité des données à caractère personnel, y compris des informations biométriques et de géolocalisation, sans base juridique appropriée.
20.000.000
13/07
Meta Platforms Ireland Limited
Meta n'a pas mis en oeuvre les mesures techniques et organisationnelles adéquates pour démontrer les mesures qu'elle avait mises en place pour protéger les données des utilisateurs.
17.000.000
18/05
Google LLC
Google transférait illégalement des données collectées auprès de citoyens européens au projet Lumen, un projet de recherche basé aux États-Unis, sans obtenir le consentement nécessaire.
10.000.000
Les plus grosses amendes RGPD de 2021
Date
Entreprise
Pays
Info
Amende EUR
EU DPA
16/07
Amazon
Non-respect des pratiques publicitaires et du consentement libre. Il s'agit de la plus importante amende liée au GDPR à ce jour.
746.000.000
20/08
Whatsapp
Multiples plaintes d'utilisateurs et de non-utilisateurs concernant diverses violations de la transparence.
225.000.000
08/01
notebooksbilliger.de
Surveillance vidéo non conforme des employés pendant 2 ans.
10.400.000
28/09
Austrian Post
Le fait de ne pas permettre aux personnes de demander des renseignements sur leurs données personnelles par courrier électronique.
9.500.000
12/03
Vodafone Spain
Les transferts internationaux de données ont été effectués sans tenir compte des exigences du GDPR et les clients ont été contactés sans leur consentement.
8.150.000
Les plus grosses amendes RGPD de 2020
Date
Entreprise
Pays
Info
Amende EUR
EU DPA
05/10
H&M
La surveillance illégale de ses employés qui ont été filmés lors de réunions spéciales auxquelles plus de 50 managers avaient accès.
35.300.000
01/02
Tim Spa
Des centaines de milliers de communications non sollicitées vers des clients qui étaient enregistrés pour ne recevoir aucun type de marketing.
27.800.000
16/10
British Airways
Le défaut de mise en oeuvre de mesures de sécurité adéquates pour la protection des données personnelles de 400.000 clients.
22.000.000
30/10
Marriott International Inc
L'incapacité à protéger 339 millions de dossiers de clients dans le monde entier en raison d'une cyberattaque en 2014 qui n'a pas été détectée jusqu'en 2018.
20.000.000
14/07
Wind Tre
Marketing non sollicité envers des clients qui n'avaient pas la possibilité de se retirer du service.
16.700.000
Les plus grosses amendes RGPD de 2019
Date
Entreprise
Pays
Info
Amende EUR
EU DPA
21/01
Google
Manque de transparence des informations fournies par Google : "pas facilement accessible aux utilisateurs", informations insatisfaisantes, pas "toujours claires et compréhensibles".
50.000.000
29/10
Austrian Post
La rédaction des profils de plus de trois millions d'Autrichiens comprenant des informations personnelles telles que les habitudes et les affinités politiques, qui ont ensuite été vendues à des entreprises privées et à des partis politiques.
18.000.000
05/11
Deutsche Wohnen
En violation de l'article 5/25 selon lequel les données personnelles doivent être effacées après un certain nombre d'années. L'entreprise avait mis ces données à la disposition des employés.
14.500.000
05/09
National Revenue Agency
La violation de la base de données confidentielle de l'agence par une partie d'un pirate informatique qui a divulgué les données personnelles de cinq millions de citoyens bulgares. L'agence a été jugée comme ayant une mauvaise protection technique de la sécurité de l'information.
2.600.000
20/09
Morele.net
La violation des données a touché 2,2 millions de clients par l'intermédiaire du réseau de sites web de la boutique en ligne, qui n'a pas su réagir à l'apparition d'un trafic irrégulier.
644.780
L'obligation générale du responsable du traitement est de toujours prendre les mesures techniques et organisationnelles appropriées pour garantir que le traitement des données relatives aux personnes physiques européennes est effectué conformément au RGPD.
Vous êtes intéressé ? Ne partez pas !
Si vous souhaitez en savoir plus sur nos services de consultant en conformité réglementaire
Parcourez notre journal pour trouver plus d'informations intéressantes actualités et articles réglementaires
GDPRData SecurityData breachFinancial SanctionsComplianceFinancial firmsPrivacyPersonal DataEuropean CommissionEU
Cookies refer to small files that get dropped automatically on your computer, whenever you browse the web. Cookies are harmless bits of texts that are locally stored and can be viewed and deleted quickly. However, they give a great deal of insight into a user’s activity and preferences. They tend to identify a user without explicit content.