Il n'a pas fallu longtemps après l'entrée en vigueur du GDPR le 25 mai 2018 pour que de nombreuses entreprises qui restaient sceptiques quant à l'idée que l'Europe imposerait des amendes en vertu du nouveau règlement sur la protection des données, révisent leurs positions et leurs positionnements professionnels.

La réalité du nombre de sanctions financières imposées par les institutions européennes aux entreprises après moins d'un an d'application du règlement général européen sur la protection des données a clairement montré que l'UE accorde une attention particulière au respect de la sécurité des données et de la vie privée de ses citoyens.


L'approche éducative de la conformité au RGPD

Les États membres disposent de cellules nationales de protection des données ou d'organes de contrôle indépendants (CRF - Cellules de Renseignement Financier) chargés de veiller au respect des principes fondamentaux de la protection des données à caractère personnel au niveau national.

Elles peuvent effectuer des vérifications dans les locaux de l'organisation ou en ligne. Les contrôles sont effectués sur la base des programmes annuels, des plaintes reçues ou des informations diffusées dans les médias. Pour certains pays où la réglementation sur la protection des données personnelles est historiquement stricte, les principes fondamentaux de la protection des données restent pour l'essentiel inchangés (sécurité des données, traitement équitable, délai de conservation, etc.) et continuent donc à être rigoureusement contrôlés par les autorités chargées de la protection des données.


D'autre part, les nouvelles obligations et les nouveaux droits découlant du RGPD font l'objet d'enquêtes et de contrôles de remédiation qui sont généralement non punitifs. L'objectif est d'aider les organisations à comprendre les enjeux et la mise en oeuvre opérationnelle des nouvelles dispositions ainsi que les avantages de la conformité.

Au cours des premiers mois de l'existence du nouveau cadre juridique européen de protection de la vie privée, les autorités nationales en la matière ont accompli un travail pédagogique considérable. Éduquer les entreprises et assurer la sensibilisation du GDPR dans les différents secteurs d'activité, publier des fiches d'information concrètes sur le droit à la vie privée, des guides sur les méthodologies de sécurité ou d'évaluation d'impact.

En Belgique, depuis le 25 mai 2018, l'Autorité de protection des données (DPA) a succédé à la Commission de la protection de la vie privée (mieux connue sous le nom de "Commission vie privée")




Quelles sont les dernières sanctions et mises en garde dans le cadre du GDPR ?

Sauf en cas d'atteinte grave à la protection des données ou de mauvaise foi délibérée, les autorités nationales de contrôle de la protection de la vie privée alertent, soutiennent et accompagnent les entreprises dans la mise en conformité avec le RGPD plutôt que d'imposer des amendes radicales pouvant atteindre 4% du chiffre d'affaires de l'entreprise.

Ces pouvoirs supplémentaires, tels que l'émission d'avertissements de non-conformité, la réalisation d'audits, la nécessité de mesures correctives spécifiques dans un délai déterminé, l'ordre d'effacement des données et la suspension des transferts de données vers un pays tiers, sont facilement accessibles aux autorités de contrôle de la protection des données et complètent les nouveaux types de sanctions.

Néanmoins, certains précédents ont déjà battu des records en ce qui concerne le nombre d'amendes infligées pour violation des principes de protection des données.
Parmi les nombreuses plaintes et procédures d'amende nationales en instance, de nombreuses sanctions ont déjà été imposées. Le tableau suivant fournit une liste non exhaustive et régulièrement mise à jour des sanctions imposées par les juridictions et autorités nationales européennes contre les organisations non conformes.


Les plus grosses amendes GDPR de 2021


Date
Entreprise
Pays
Info
Amende
EU DPA
08/01
notebooksbilliger.de
Germany
Surveillance vidéo non conforme des employés pendant 2 ans.
10.400.00?
12/03
Vodafone Spain
Spain
Les transferts internationaux de données ont été effectués sans tenir compte des exigences du GDPR et les clients ont été contactés sans leur consentement.
8.150.000?
14/01
Caixabank
Spain
Informations insuffisantes et incohérentes fournies à leurs clients dans le cadre de la politique de confidentialité.
6.000.000?
11/02
OLVG Amsterdam Hospital
Netherlands
Protection insuffisante des données des patients pendant 2 ans (2018-2020).
440.000?
10/03
VfB Stuttgart
Germany
Violation de la responsabilité en matière de protection des données en vertu de l'article 5, paragraphe 2.
300.000?


Les plus grosses amendes GDPR de 2020


Date
Entreprise
Pays
Info
Amende
EU DPA
05/10
H&M
Germany
La surveillance illégale de ses employés qui ont été filmés lors de réunions spéciales auxquelles plus de 50 managers avaient accès.
35.300.00?
01/02
Tim Spa
Italy
Des centaines de milliers de communications non sollicitées vers des clients qui étaient enregistrés pour ne recevoir aucun type de marketing.
27.800.000?
16/10
British Airways
Great Britain
Le défaut de mise en oeuvre de mesures de sécurité adéquates pour la protection des données personnelles de 400.000 clients.
22.000.000?
30/10
Marriott International Inc
Great Britain
L'incapacité à protéger 339 millions de dossiers de clients dans le monde entier en raison d'une cyberattaque en 2014 qui n'a pas été détectée jusqu'en 2018.
20.000.000?
14/07
Wind Tre
Italy
Marketing non sollicité envers des clients qui n'avaient pas la possibilité de se retirer du service.
16.700.000?


Les plus grosses amendes GDPR de 2019


Date
Entreprise
Pays
Info
Amende
EU DPA
21/01
Google
France
Manque de transparence des informations fournies par Google : "pas facilement accessible aux utilisateurs", informations insatisfaisantes, pas "toujours claires et compréhensibles".
50.000.00?
29/10
Austrian Post
Austria
La rédaction des profils de plus de trois millions d'Autrichiens comprenant des informations personnelles telles que les habitudes et les affinités politiques, qui ont ensuite été vendues à des entreprises privées et à des partis politiques.
18.000.000?
05/11
Deutsche Wohnen
Germany
En violation de l'article 5/25 selon lequel les données personnelles doivent être effacées après un certain nombre d'années. L'entreprise avait mis ces données à la disposition des employés.
14.500.000?
05/09
National Revenue Agency
Bulgaria
La violation de la base de données confidentielle de l'agence par une partie d'un pirate informatique qui a divulgué les données personnelles de cinq millions de citoyens bulgares. L'agence a été jugée comme ayant une mauvaise protection technique de la sécurité de l'information.
2.600.000?
20/09
Morele.net
Poland
La violation des données a touché 2,2 millions de clients par l'intermédiaire du réseau de sites web de la boutique en ligne, qui n'a pas su réagir à l'apparition d'un trafic irrégulier.
644.780?


L'obligation générale du responsable du traitement est de toujours prendre les mesures techniques et organisationnelles appropriées pour garantir que le traitement des données relatives aux personnes physiques européennes est effectué conformément au RGPD.
Vous êtes intéressé ? Ne partez pas !
Parcourez notre journal pour trouver plus d'informations intéressantes actualités et articles réglementaires
Oscar Canario da Cunha - Pideeco Network Partner
Oscar Canario da Cunha Associate Director
1 commentaires
  • Pideeco country: PK
     
    Tuesday 25th of May 2021, 08:34

    Cookies refer to small files that get dropped automatically on your computer, whenever you browse the web. Cookies are harmless bits of texts that are locally stored and can be viewed and deleted quickly. However, they give a great deal of insight into a user’s activity and preferences. They tend to identify a user without explicit content.

Ajoutez vos commentaires

Articles Liés

Comment faites-vous des affaires en Russie ? Découvrez les différents types d'entités russes et comment effectuer...

Financial firms Mon 08 January 2018

Qu'est-ce que la distribution transfrontalière de fonds d'investissement ? Découvrez comment le paysage des f...

EU Thu 08 November 2018

Qu'est-ce que BMR et comment modifie-t-elle les benchmarks? Découvrez la fin du LIBOR et de l'Eonia, et explore...

Thu 20 February 2020
Experts en gestion des risques et conformité réglementaire

Pideeco est un cabinet de conseil offrant des services juridiques, des solutions d’entreprise, une assistance opérationnelle et du matériel pédagogique aux professionnels du secteur financier.

Nous sommes basés à Bruxelles et nous sommes spécialisés dans les services de conformité réglementaire couvrant la zone euro.

Pideeco associe des connaissances professionnelles en matière de réglementation et une expertise technique pour protéger votre entreprise contre les risques de réputation et d’exploitation. Notre approche unique, centrée sur le client, nous aide à élaborer des solutions stratégiques légitimes et efficaces.

Travailler avec nous signifie atteindre des personnes complémentaires, ce qui permet une réflexion originale, une vision innovante.

Our Network En apprendre plus sur nous