Il n'a pas fallu longtemps après l'entrée en vigueur du GDPR le 25 mai 2018 pour que de nombreuses entreprises qui restaient sceptiques quant à l'idée que l'Europe imposerait des amendes en vertu du nouveau règlement sur la protection des données, révisent leurs positions et leurs positionnements professionnels.

La réalité du nombre de sanctions financières imposées par les institutions européennes aux entreprises après moins d'un an d'application du règlement général européen sur la protection des données a clairement montré que l'UE accorde une attention particulière au respect de la sécurité des données et de la vie privée de ses citoyens.


L'approche éducative de la conformité au RGPD

Les États membres disposent de cellules nationales de protection des données ou d'organes de contrôle indépendants (CRF - Cellules de Renseignement Financier) chargés de veiller au respect des principes fondamentaux de la protection des données à caractère personnel au niveau national.

Elles peuvent effectuer des vérifications dans les locaux de l'organisation ou en ligne. Les contrôles sont effectués sur la base des programmes annuels, des plaintes reçues ou des informations diffusées dans les médias. Pour certains pays où la réglementation sur la protection des données personnelles est historiquement stricte, les principes fondamentaux de la protection des données restent pour l'essentiel inchangés (sécurité des données, traitement équitable, délai de conservation, etc.) et continuent donc à être rigoureusement contrôlés par les autorités chargées de la protection des données.


D'autre part, les nouvelles obligations et les nouveaux droits découlant du RGPD font l'objet d'enquêtes et de contrôles de remédiation qui sont généralement non punitifs. L'objectif est d'aider les organisations à comprendre les enjeux et la mise en oeuvre opérationnelle des nouvelles dispositions ainsi que les avantages de la conformité.

Au cours des premiers mois de l'existence du nouveau cadre juridique européen de protection de la vie privée, les autorités nationales en la matière ont accompli un travail pédagogique considérable. Éduquer les entreprises et assurer la sensibilisation du GDPR dans les différents secteurs d'activité, publier des fiches d'information concrètes sur le droit à la vie privée, des guides sur les méthodologies de sécurité ou d'évaluation d'impact.

En Belgique, depuis le 25 mai 2018, l'Autorité de protection des données (DPA) a succédé à la Commission de la protection de la vie privée (mieux connue sous le nom de "Commission vie privée")




Quelles sont les dernières sanctions et mises en garde dans le cadre du GDPR ?

Sauf en cas d'atteinte grave à la protection des données ou de mauvaise foi délibérée, les autorités nationales de contrôle de la protection de la vie privée alertent, soutiennent et accompagnent les entreprises dans la mise en conformité avec le RGPD plutôt que d'imposer des amendes radicales pouvant atteindre 4% du chiffre d'affaires de l'entreprise.

Ces pouvoirs supplémentaires, tels que l'émission d'avertissements de non-conformité, la réalisation d'audits, la nécessité de mesures correctives spécifiques dans un délai déterminé, l'ordre d'effacement des données et la suspension des transferts de données vers un pays tiers, sont facilement accessibles aux autorités de contrôle de la protection des données et complètent les nouveaux types de sanctions.

Néanmoins, certains précédents ont déjà battu des records en ce qui concerne le nombre d'amendes infligées pour violation des principes de protection des données.
Parmi les nombreuses plaintes et procédures d'amende nationales en instance, de nombreuses sanctions ont déjà été imposées. Le tableau suivant fournit une liste non exhaustive et régulièrement mise à jour des sanctions imposées par les juridictions et autorités nationales européennes contre les organisations non conformes.


Les plus grosses amendes GDPR de 2021

Date
Entreprise
Pays
Info
Amende EUR
EU DPA
16/07
Amazon
Luxembourg
Non-respect des pratiques publicitaires et du consentement libre. Il s'agit de la plus importante amende liée au GDPR à ce jour.
746.000.000
20/08
Whatsapp
Ireland
Multiples plaintes d'utilisateurs et de non-utilisateurs concernant diverses violations de la transparence.
225.000.000
08/01
notebooksbilliger.de
Germany
Surveillance vidéo non conforme des employés pendant 2 ans.
10.400.000
28/09
Austrian Post
Austria
Le fait de ne pas permettre aux personnes de demander des renseignements sur leurs données personnelles par courrier électronique.
9.500.000
12/03
Vodafone Spain
Spain
Les transferts internationaux de données ont été effectués sans tenir compte des exigences du GDPR et les clients ont été contactés sans leur consentement.
8.150.000


Les plus grosses amendes GDPR de 2020


Date
Entreprise
Pays
Info
Amende EUR
EU DPA
05/10
H&M
Germany
La surveillance illégale de ses employés qui ont été filmés lors de réunions spéciales auxquelles plus de 50 managers avaient accès.
35.300.000
01/02
Tim Spa
Italy
Des centaines de milliers de communications non sollicitées vers des clients qui étaient enregistrés pour ne recevoir aucun type de marketing.
27.800.000
16/10
British Airways
Great Britain
Le défaut de mise en oeuvre de mesures de sécurité adéquates pour la protection des données personnelles de 400.000 clients.
22.000.000
30/10
Marriott International Inc
Great Britain
L'incapacité à protéger 339 millions de dossiers de clients dans le monde entier en raison d'une cyberattaque en 2014 qui n'a pas été détectée jusqu'en 2018.
20.000.000
14/07
Wind Tre
Italy
Marketing non sollicité envers des clients qui n'avaient pas la possibilité de se retirer du service.
16.700.000


Les plus grosses amendes GDPR de 2019


Date
Entreprise
Pays
Info
Amende EUR
EU DPA
21/01
Google
France
Manque de transparence des informations fournies par Google : "pas facilement accessible aux utilisateurs", informations insatisfaisantes, pas "toujours claires et compréhensibles".
50.000.000
29/10
Austrian Post
Austria
La rédaction des profils de plus de trois millions d'Autrichiens comprenant des informations personnelles telles que les habitudes et les affinités politiques, qui ont ensuite été vendues à des entreprises privées et à des partis politiques.
18.000.000
05/11
Deutsche Wohnen
Germany
En violation de l'article 5/25 selon lequel les données personnelles doivent être effacées après un certain nombre d'années. L'entreprise avait mis ces données à la disposition des employés.
14.500.000
05/09
National Revenue Agency
Bulgaria
La violation de la base de données confidentielle de l'agence par une partie d'un pirate informatique qui a divulgué les données personnelles de cinq millions de citoyens bulgares. L'agence a été jugée comme ayant une mauvaise protection technique de la sécurité de l'information.
2.600.000
20/09
Morele.net
Poland
La violation des données a touché 2,2 millions de clients par l'intermédiaire du réseau de sites web de la boutique en ligne, qui n'a pas su réagir à l'apparition d'un trafic irrégulier.
644.780


L'obligation générale du responsable du traitement est de toujours prendre les mesures techniques et organisationnelles appropriées pour garantir que le traitement des données relatives aux personnes physiques européennes est effectué conformément au RGPD.
Vous êtes intéressé ? Ne partez pas !
Parcourez notre journal pour trouver plus d'informations intéressantes actualités et articles réglementaires
Oscar Canario da Cunha - Pideeco Network Partner
Oscar Canario da Cunha Managing Director
1 commentaires
  • Pideeco country: PK
     
    Tuesday 25th of May 2021, 08:34

    Cookies refer to small files that get dropped automatically on your computer, whenever you browse the web. Cookies are harmless bits of texts that are locally stored and can be viewed and deleted quickly. However, they give a great deal of insight into a user’s activity and preferences. They tend to identify a user without explicit content.

Ajoutez vos commentaires

Articles Liés

Quels sont les impacts de la récente introduction réglementaire des directives européennes 2015/849 et 2018/843 en ma...

Financial firms Mon 28 August 2017

Qu'est-ce que BMR et comment modifie-t-elle les benchmarks? Découvrez la fin du LIBOR et de l'Eonia, et explore...

European Commission Thu 20 February 2020

Google est-il lié au droit de GDPR d'être oublié ? Découvrez la décision de la CJCE de 2019 sur le sujet et co...

GDPR Wed 02 October 2019

La 5e directive LAB a été adoptée par le Conseil de l'Union européenne. Découvrez l'historique des directi...

Compliance Sat 12 May 2018
Experts en gestion des risques et conformité réglementaire

Pideeco est un cabinet de conseil offrant des services juridiques, des solutions d’entreprise, une assistance opérationnelle et du matériel pédagogique aux professionnels du secteur financier.

Nous sommes basés à Bruxelles et nous sommes spécialisés dans les services de conformité réglementaire couvrant la zone euro.

Pideeco associe des connaissances professionnelles en matière de réglementation et une expertise technique pour protéger votre entreprise contre les risques de réputation et d’exploitation. Notre approche unique, centrée sur le client, nous aide à élaborer des solutions stratégiques légitimes et efficaces.

Travailler avec nous signifie atteindre des personnes complémentaires, ce qui permet une réflexion originale, une vision innovante.

Our Network En apprendre plus sur nous