Il n'a pas fallu longtemps après l'entrée en vigueur du RGPD le 25 mai 2018 pour que de nombreuses entreprises qui restaient sceptiques quant à l'idée que l'Europe imposerait des amendes en vertu du nouveau règlement sur la protection des données, révisent leurs positions et leurs positionnements professionnels.

La réalité du nombre de sanctions financières imposées par les institutions européennes aux entreprises après moins d'un an d'application du règlement général européen sur la protection des données a clairement montré que l'UE accorde une attention particulière au respect de la sécurité des données et de la vie privée de ses citoyens.


L'approche éducative de la conformité au RGPD

Les États membres disposent de cellules nationales de protection des données ou d'organes de contrôle indépendants (CRF - Cellules de Renseignement Financier) chargés de veiller au respect des principes fondamentaux de la protection des données à caractère personnel au niveau national.

Elles peuvent effectuer des vérifications dans les locaux de l'organisation ou en ligne. Les contrôles sont effectués sur la base des programmes annuels, des plaintes reçues ou des informations diffusées dans les médias. Pour certains pays où la réglementation sur la protection des données personnelles est historiquement stricte, les principes fondamentaux de la protection des données restent pour l'essentiel inchangés (sécurité des données, traitement équitable, délai de conservation, etc.) et continuent donc à être rigoureusement contrôlés par les autorités chargées de la protection des données.
GDPR

D'autre part, les nouvelles obligations et les nouveaux droits découlant du RGPD font l'objet d'enquêtes et de contrôles de remédiation qui sont généralement non punitifs. L'objectif est d'aider les organisations à comprendre les enjeux et la mise en oeuvre opérationnelle des nouvelles dispositions ainsi que les avantages de la conformité.

Au cours des premiers mois de l'existence du nouveau cadre juridique européen de protection de la vie privée, les autorités nationales en la matière ont accompli un travail pédagogique considérable. Éduquer les entreprises et assurer la sensibilisation du RGPD dans les différents secteurs d'activité, publier des fiches d'information concrètes sur le droit à la vie privée, des guides sur les méthodologies de sécurité ou d'évaluation d'impact.

En Belgique, depuis le 25 mai 2018, l'Autorité de protection des données (DPA) a succédé à la Commission de la protection de la vie privée (mieux connue sous le nom de "Commission vie privée")




Quelles sont les dernières sanctions et mises en garde dans le cadre du RGPD ?

Sauf en cas d'atteinte grave à la protection des données ou de mauvaise foi délibérée, les autorités nationales de contrôle de la protection de la vie privée alertent, soutiennent et accompagnent les entreprises dans la mise en conformité avec le RGPD plutôt que d'imposer des amendes radicales pouvant atteindre 4% du chiffre d'affaires de l'entreprise.
Ces pouvoirs supplémentaires, tels que l'émission d'avertissements de non-conformité, la réalisation d'audits, la nécessité de mesures correctives spécifiques dans un délai déterminé, l'ordre d'effacement des données et la suspension des transferts de données vers un pays tiers, sont facilement accessibles aux autorités de contrôle de la protection des données et complètent les nouveaux types de sanctions.
GDPR2

Néanmoins, certains précédents ont déjà battu des records en ce qui concerne le nombre d'amendes infligées pour violation des principes de protection des données.
Parmi les nombreuses plaintes et procédures d'amende nationales en instance, de nombreuses sanctions ont déjà été imposées. Le tableau suivant fournit une liste non exhaustive et régulièrement mise à jour des sanctions imposées par les juridictions et autorités nationales européennes contre les organisations non conformes.

Les plus grosses amendes RGPD de 2023

Date
Entreprise
Pays
Info
Sanction
EU DPA
22/05
Meta
Ireland
Mauvaise gestion du transfert de données à caractère personnel entre l'UE et les États-Unis.
1.2 milliard
04/01
Meta
Ireland
Changement de la base juridique du traitement de leurs données, du consentement à l'exécution d'un contrat.
390.000.000
01/09
TikTok
Ireland
Comment TikTok a traité les informations personnelles d'enfants de moins de 13 ans.
345.000.000
15/06
Criteo
France
N'a pas veillé à ce que les personnes concernées reçoivent un consentement explicite pour le traitement de leurs données.
40.000.000
04/04
TikTok
UK
Collecte de données à caractère personnel concernant des enfants sans le consentement de leurs parents
14.500.000


Les plus grosses amendes RGPD de 2022

Date
Entreprise
Pays
Info
Amende EUR
EU DPA
19/01
Enel Energia
Italy
Utilisation illégale des données des clients.
26.500.000
10/02
Clearview AI
Italy
Traité des données à caractère personnel, y compris des informations biométriques et de géolocalisation, sans base juridique appropriée.
20.000.000
13/07
Meta Platforms Ireland Limited
Ireland
Meta n'a pas mis en oeuvre les mesures techniques et organisationnelles adéquates pour démontrer les mesures qu'elle avait mises en place pour protéger les données des utilisateurs.
17.000.000
18/05
Google LLC
Spain
Google transférait illégalement des données collectées auprès de citoyens européens au projet Lumen, un projet de recherche basé aux États-Unis, sans obtenir le consentement nécessaire.
10.000.000


Les plus grosses amendes RGPD de 2021

Date
Entreprise
Pays
Info
Amende EUR
EU DPA
20/08
Whatsapp
Ireland
Multiples plaintes d'utilisateurs et de non-utilisateurs concernant diverses violations de la transparence.
225.000.000
08/01
notebooksbilliger.de
Germany
Surveillance vidéo non conforme des employés pendant 2 ans.
10.400.000
28/09
Austrian Post
Austria
Le fait de ne pas permettre aux personnes de demander des renseignements sur leurs données personnelles par courrier électronique.
9.500.000
12/03
Vodafone Spain
Spain
Les transferts internationaux de données ont été effectués sans tenir compte des exigences du GDPR et les clients ont été contactés sans leur consentement.
8.150.000


Les plus grosses amendes RGPD de 2020


Date
Entreprise
Pays
Info
Amende EUR
EU DPA
01/02
Tim Spa
Italy
Des centaines de milliers de communications non sollicitées vers des clients qui étaient enregistrés pour ne recevoir aucun type de marketing.
27.800.000
16/10
British Airways
Great Britain
Le défaut de mise en oeuvre de mesures de sécurité adéquates pour la protection des données personnelles de 400.000 clients.
22.000.000
30/10
Marriott International Inc
Great Britain
L'incapacité à protéger 339 millions de dossiers de clients dans le monde entier en raison d'une cyberattaque en 2014 qui n'a pas été détectée jusqu'en 2018.
20.000.000
14/07
Wind Tre
Italy
Marketing non sollicité envers des clients qui n'avaient pas la possibilité de se retirer du service.
16.700.000


Les plus grosses amendes RGPD de 2019


Date
Entreprise
Pays
Info
Amende EUR
EU DPA
29/10
Austrian Post
Austria
La rédaction des profils de plus de trois millions d'Autrichiens comprenant des informations personnelles telles que les habitudes et les affinités politiques, qui ont ensuite été vendues à des entreprises privées et à des partis politiques.
18.000.000
05/11
Deutsche Wohnen
Germany
En violation de l'article 5/25 selon lequel les données personnelles doivent être effacées après un certain nombre d'années. L'entreprise avait mis ces données à la disposition des employés.
14.500.000
05/09
National Revenue Agency
Bulgaria
La violation de la base de données confidentielle de l'agence par une partie d'un pirate informatique qui a divulgué les données personnelles de cinq millions de citoyens bulgares. L'agence a été jugée comme ayant une mauvaise protection technique de la sécurité de l'information.
2.600.000
20/09
Morele.net
Poland
La violation des données a touché 2,2 millions de clients par l'intermédiaire du réseau de sites web de la boutique en ligne, qui n'a pas su réagir à l'apparition d'un trafic irrégulier.
644.780


L'obligation générale du responsable du traitement est de toujours prendre les mesures techniques et organisationnelles appropriées pour garantir que le traitement des données relatives aux personnes physiques européennes est effectué conformément au RGPD.
1 commentaires
  • Pideeco country: PK
     
    Tuesday 25th of May 2021, 08:34

    Cookies refer to small files that get dropped automatically on your computer, whenever you browse the web. Cookies are harmless bits of texts that are locally stored and can be viewed and deleted quickly. However, they give a great deal of insight into a user’s activity and preferences. They tend to identify a user without explicit content.

Ajoutez vos commentaires

Articles Liés

Qu'est-ce que la directive sur les services de paiement (PSD2) ? Découvrez l'avis publié par l'ABE en 201...

Compliance Tue 10 September 2019

Le blanchiment d'argent dans le football est un problème mondial qui affecte la réputation de ce sport. Découvrez...

Compliance Mon 15 May 2023

Panama Papers, Offshore Leaks et Swiss Leaks ont révélé un côté sombre de la finance. Découvrez comment les donn...

Data breach Fri 26 February 2021

Qu'est-ce que l'approche fondée sur le risque en matière de compliance et AML? Découvrez comment l'appro...

Financial firms Tue 25 June 2019
Experts en gestion des risques et conformité réglementaire

Pideeco est un cabinet de conseil offrant des services juridiques, des solutions d’entreprise, une assistance opérationnelle et du matériel pédagogique aux professionnels du secteur financier.

Nous sommes basés à Bruxelles et nous sommes spécialisés dans les services de conformité réglementaire couvrant la zone euro.

Pideeco associe des connaissances professionnelles en matière de réglementation et une expertise technique pour protéger votre entreprise contre les risques de réputation et d’exploitation. Notre approche unique, centrée sur le client, nous aide à élaborer des solutions stratégiques légitimes et efficaces.

Travailler avec nous signifie atteindre des personnes complémentaires, ce qui permet une réflexion originale, une vision innovante.

Our Network En apprendre plus sur nous