Il n'a pas fallu longtemps après l'entrée en vigueur du GDPR le 25 mai 2018 pour que de nombreuses entreprises qui restaient sceptiques quant à l'idée que l'Europe imposerait des amendes en vertu du nouveau règlement sur la protection des données, révisent leurs positions et leurs positionnements professionnels.

La réalité du nombre de sanctions financières imposées par les institutions européennes aux entreprises après moins d'un an d'application du règlement général européen sur la protection des données a clairement montré que l'UE accorde une attention particulière au respect de la sécurité des données et de la vie privée de ses citoyens.


L'approche éducative de la conformité au RGPD

Les États membres disposent de cellules nationales de protection des données ou d'organes de contrôle indépendants (CRF - Cellules de Renseignement Financier) chargés de veiller au respect des principes fondamentaux de la protection des données à caractère personnel au niveau national.

Elles peuvent effectuer des vérifications dans les locaux de l'organisation ou en ligne. Les contrôles sont effectués sur la base des programmes annuels, des plaintes reçues ou des informations diffusées dans les médias. Pour certains pays où la réglementation sur la protection des données personnelles est historiquement stricte, les principes fondamentaux de la protection des données restent pour l'essentiel inchangés (sécurité des données, traitement équitable, délai de conservation, etc.) et continuent donc à être rigoureusement contrôlés par les autorités chargées de la protection des données.


D'autre part, les nouvelles obligations et les nouveaux droits découlant du RGPD font l'objet d'enquêtes et de contrôles de remédiation qui sont généralement non punitifs. L'objectif est d'aider les organisations à comprendre les enjeux et la mise en œuvre opérationnelle des nouvelles dispositions ainsi que les avantages de la conformité.

Au cours des premiers mois de l'existence du nouveau cadre juridique européen de protection de la vie privée, les autorités nationales en la matière ont accompli un travail pédagogique considérable. Éduquer les entreprises et assurer la sensibilisation du GDPR dans les différents secteurs d'activité, publier des fiches d'information concrètes sur le droit à la vie privée, des guides sur les méthodologies de sécurité ou d'évaluation d'impact.

En Belgique, depuis le 25 mai 2018, l'Autorité de protection des données (DPA) a succédé à la Commission de la protection de la vie privée (mieux connue sous le nom de "Commission vie privée")




Quelles sont les dernières sanctions et mises en garde dans le cadre du GDPR ?

Sauf en cas d'atteinte grave à la protection des données ou de mauvaise foi délibérée, les autorités nationales de contrôle de la protection de la vie privée alertent, soutiennent et accompagnent les entreprises dans la mise en conformité avec le RGPD plutôt que d'imposer des amendes radicales pouvant atteindre 4% du chiffre d'affaires de l'entreprise.

Ces pouvoirs supplémentaires, tels que l'émission d'avertissements de non-conformité, la réalisation d'audits, la nécessité de mesures correctives spécifiques dans un délai déterminé, l'ordre d'effacement des données et la suspension des transferts de données vers un pays tiers, sont facilement accessibles aux autorités de contrôle de la protection des données et complètent les nouveaux types de sanctions.

Néanmoins, certains précédents ont déjà battu des records en ce qui concerne le nombre d'amendes infligées pour violation des principes de protection des données.
Parmi les nombreuses plaintes et procédures d'amende nationales en instance, de nombreuses sanctions ont déjà été imposées. Le tableau suivant fournit une liste non exhaustive et régulièrement mise à jour des sanctions imposées par les juridictions et autorités nationales européennes contre les organisations non conformes.


La liste à jour des mesures d'application récentes du RGPD


Date
Company
Country
Infos
Sanction
EU DPA
29/08/2019
Skellefteå High School
Sweden
Le DPA suédois a infligé une amende de 200 000 couronnes suédoises à une école pour avoir créé un programme de reconnaissance faciale en violation du RGPD.
18.850€
25/07/2019
ACTIVE ASSURANCES
France
Protection insuffisante des données des utilisateurs de son site Web et mise en œuvre de méthodes de stockage de données inappropriées.
180.000 €
06/06/2019
Sergic
France
Protection insuffisante des données des utilisateurs de son site Web et mise en œuvre de méthodes de stockage de données inappropriées.
400.000 €
28/05/2019
Bourgmestre Communal
Belgium
Utilisation abusive de données personnelles par un bourgmestre à des fins électorales. Si l'amende est modérée, son message est important : la protection des données est l'affaire de tous, et les responsables du traitement doivent en assumer la responsabilité, surtout lorsqu'ils exercent une fonction publique...
2.000 €
21/01/2019
Google
France
Manque de transparence des informations fournies par Google : "l'information n'est pas "toujours claire et compréhensible", et l'absence de consentement valide pour la personnalisation de la publicité (appel Google en instance).
50.000.000 €
11/2018
Knuddels
Germany
fuite en juillet 2018 de 808 000 e-mails et de plus de 1,8 million de noms d'utilisateur et mots de passe de la plateforme de chat en ligne
20.000 €
11/2018
UBER
France, Holland, England
Violation de l'obligation de protéger les données. Non-divulgation d'une atteinte à la protection des données. Fuite de 57 millions d'utilisateurs et de 600 000 renseignements sur les comptes des conducteurs (en juillet 2016 avant l'entrée en vigueur du RGPD)
1.385.000 €
CNIL, AP, ICO
06/2018
"PME"
Austria
Surveillance d'un espace public sans transparence ni préavis. Établissement de vente au détail avec une caméra de surveillance qui capte une trop grande partie du trottoir.
4.800 €
ODSB - österreichische Datenschutzbehörde
06/2018
Hopital Barreiro
Portugal
Violation des principes d'intégrité et de confidentialité des données, violation du principe d'accès limité aux données et incapacité du responsable du traitement à garantir l'intégrité des données.
400.000 €
CNPD - Comissão Nacional de Proteção de Dados


L'obligation générale du responsable du traitement est de toujours prendre les mesures techniques et organisationnelles appropriées pour garantir que le traitement des données relatives aux personnes physiques européennes est effectué conformément au RGPD.
Vous êtes intéressé ? Ne partez pas !
Parcourez notre journal pour trouver plus d'informations intéressantes actualités et articles réglementaires
Oscar Canario da Cunha - Pideeco Network Partner
Oscar Canario da Cunha Associate Director
0 commentaires
Ajoutez vos commentaires

Articles Liés

Qu'est-ce que BMR et comment modifie-t-elle les benchmarks? Découvrez la fin du LIBOR et de l'Eonia, et explore...

European Commission Thu 20 February 2020

Quels sont les impacts de la récente introduction réglementaire des directives européennes 2015/849 et 2018/843 en ma...

Compliance Mon 28 August 2017

Le 24 septembre 2019, la Cour de justice des Communautés européennes (CJCE) a rendu une décision préliminaire selon ...

Privacy Wed 02 October 2019

Qu'est-ce que BMR et comment modifie-t-elle les benchmarks? Découvrez la fin du LIBOR et de l'Eonia, et explore...

Compliance Thu 20 February 2020
Experts en gestion des risques et conformité réglementaire

Pideeco est un cabinet de conseil offrant des services juridiques, des solutions d’entreprise, une assistance opérationnelle et du matériel pédagogique aux professionnels du secteur financier.

Nous sommes basés à Bruxelles et nous sommes spécialisés dans les services de conformité réglementaire couvrant la zone euro.

Pideeco associe des connaissances professionnelles en matière de réglementation et une expertise technique pour protéger votre entreprise contre les risques de réputation et d’exploitation. Notre approche unique, centrée sur le client, nous aide à élaborer des solutions stratégiques légitimes et efficaces.

Travailler avec nous signifie atteindre des personnes complémentaires, ce qui permet une réflexion originale, une vision innovante.

Our Network En apprendre plus sur nous