RGPD 61 RGPD et sanctions les plus importantes infligées à ce jour RGPD [Mise à jour 2025]

Le règlement général sur la protection des données (RGPD) de l'Union européenne et de ce qu'il signifie pour les sites web. La loi prévoit des exigences strictes sur la manière dont les organisations peuvent collecter et utiliser les données et sur ce qu'elles doivent dire aux visiteurs.

Il peut être tentant d'ignorer toutes ces règles - après tout, les conséquences de la non-conformité au RGPD ne peuvent pas être si graves, n'est-ce pas ?

C'est faux.

Au cours des cinq dernières années, depuis l'entrée en vigueur du RGPD , les entreprises ont dû s'acquitter d'amendes à huit, neuf, voire dix chiffres pour ne pas s'être conformées au RGPD ou pour avoir mal géré des violations de données.

Utilisez la table des matières ci-dessous pour passer aux amendes les plus élevées du RGPD pour une année spécifique, ou continuez à lire pour connaître les 10 amendes les plus élevées jamais émises dans le cadre du RGPD.

Les 10 amendes les plus importantes jamais infligées par RGPD

Le RGPD structure et émet des amendes en fonction du chiffre d'affaires international de l'entreprise. C'est pourquoi vous trouverez des noms familiers dans la liste ci-dessous.

Ces dix entreprises ont été reconnues coupables d'avoir enfreint les règles du RGPDet ont été contraintes de payer des amendes de plusieurs dizaines ou centaines de millions d'euros.

1. Meta - 1,2 milliard d'euros (1,3 milliard de dollars)

Année d'émission : 2023

La société mère de Facebook, Meta, détient désormais la plus grosse amende jamais infligée par RGPD

Le 22 mai 2023, l'autorité de contrôle irlandaise a infligé au conglomérat des médias sociaux Meta une amende record de 1,2 milliard d'euros pour avoir transféré aux États-Unis des données collectées auprès d'utilisateurs de Facebook dans l'UE/EEE, en violation des lignes directrices RGPD transferts internationaux.

Selon les régulateurs de la protection des données, Meta n'a pas respecté l'arrêt Schrems II de 2020 de la plus haute juridiction de l'UE, invalidant ainsi le cadre du bouclier de protection de la vie privée entre l'UE et l'Allemagne.

Outre l'amende massive, Meta a reçu l'ordre de cesser les transferts internationaux et dispose de cinq mois pour se conformer aux corrections. Meta a annoncé son intention de faire appel de la décision, ce qui entraînera probablement une longue procédure judiciaire. Nous vous tiendrons au courant de l'évolution de la situation.

2. Amazon - 746 millions d'euros (780,9 millions de dollars)

Année d'émission : 2021

Il a été constaté que le siège luxembourgeois du détaillant en ligne suivait les données des utilisateurs sans obtenir le consentement approprié de ces derniers ni leur fournir les moyens de se désengager de ce suivi, ce qui a valu à Amazon de se voir infliger ce qui était alors l'amende la plus importante du RGPD .

3. Meta Platforms Limited (Instagram) - 405 millions d'euros (442 millions de dollars)

Année d'émission : 2022

Le conglomérat de médias sociaux a été condamné à une amende par l'autorité irlandaise de protection des données en 2022 pour avoir traité de manière illicite des données personnelles d'enfants.

Plus précisément, l'infraction consistait à divulguer publiquement les adresses électroniques et les numéros de téléphone des enfants qui accèdent à la fonction de compte professionnel d'Instagram et à rendre les comptes des enfants publics par défaut.

4. Meta Platforms Ireland Limited (Facebook et Instagram) - 390 millions d'euros (425 millions de dollars)

Année d'émission : 2023

Facebook et Instagram, qui font tous deux partie de Meta, ont été condamnés à une amende par la Commission irlandaise de protection des données pour avoir utilisé la dépendance à l'égard d'un contact comme base juridique pour la plupart de leurs traitements de données, d'une manière qui n'était pas claire pour les utilisateurs.

Les infractions commises sur Facebook ont représenté 210 millions d'euros de l'amende, et les infractions commises sur Instagram ont donné lieu à 180 millions d'euros supplémentaires.

5. TikTok Limited - 345 millions d'euros (377 millions de dollars)

Année d'émission : 2023

TikTok s' est vu infliger une amende par le DPD irlandais pour avoir collecté et traité de manière illicite les données à caractère personnel d'enfants de moins de 13 ans et avoir rendu leurs comptes publics par défaut.

6. Meta Platforms Ireland Limited (Facebook) - 265 millions d'euros (289 millions de dollars)

Année d'émission : 2022

La Commission de protection des données (CPD) a infligé une amende à Meta, le responsable du traitement des données de Facebook, après avoir découvert qu'un ensemble de données Facebook contenant des informations personnelles avait été mis à disposition sur l'internet, violant ainsi la protection des données par conception et par défaut.

7. WhatsApp - 225 millions d'euros (247 millions de dollars)

Année d'émission : 2021

La Commission irlandaise de protection des données a infligé une amende à WhatsApp en raison de politiques de confidentialité peu claires et d'un manque de transparence quant à l'utilisation des données des utilisateurs.

8. Google LLC - 90 millions d'euros (99 millions de dollars)

Année d'émission : 2021

La CNIL française a infligé une amende à Google pour n'avoir pas donné aux utilisateurs un moyen facile de refuser les cookies en vertu du RGPD et de la directive sur la vie privée et les communications électroniques.

9. Google Ireland Ltd. - 60 millions d'euros (66 millions de dollars)

Année d'émission : 2021

La CNIL a également infligé une amende à Google Ireland Ltd. pour ne pas avoir donné aux utilisateurs des moyens simples et appropriés de refuser les cookies sur YouTube.

10. Facebook Ireland Ltd. - 60 millions d'euros (66 millions de dollars)

Année d'émission : 2021

En 2021, Facebook a reçu la troisième amende de la CNIL pour n'avoir pas donné aux utilisateurs des moyens simples de refuser les cookies lors de l'utilisation du site web.

Les plus grosses amendes RGPD en 2023

1. Meta - 1,2 milliard d'euros (1,3 milliard de dollars)

Le 22 mai 2023, l'autorité de surveillance irlandaise a infligé au conglomérat des médias sociaux Meta une amende record de 1,2 milliard d'euros.

Pourquoi ils ont été condamnés à une amende

Selon les régulateurs de la protection des données, Meta a été condamné à une amende pour avoir transféré aux États-Unis des données collectées auprès d'utilisateurs de Facebook dans l'UE/l'EEE, en violation des lignes directrices RGPD transferts internationaux.

L'entreprise n'a pas respecté l'arrêt Schrems II rendu en 2020 par la plus haute juridiction de l'UE, qui invalide le cadre du bouclier de protection de la vie privée entre l'Union européenne et l'Union européenne.

Outre l'amende massive, Meta a reçu l'ordre de cesser les transferts internationaux et dispose de cinq mois pour se conformer aux corrections.

Comment ils ont réagi

Meta a annoncé son intention de faire appel de la décision, ce qui entraînera probablement une longue procédure judiciaire.

Pour l'instant, les services de Facebook ne devraient pas être interrompus, mais des informations telles que les photos, les connexions d'amis, les données publicitaires et les messages directs pourraient éventuellement être affectées.

Consultez les prochaines mises à jour.

2. Meta Platforms Ireland Limited - 390 millions d'euros (426 millions de dollars)

Le 2 janvier 2023, l'autorité de contrôle irlandaise a infligé une amende de 390 millions d'euros à Meta Platform Ireland Limited, le responsable du traitement des données dans la région.

Pourquoi ils ont été condamnés à une amende

Meta avait demandé à ses utilisateurs de consentir à de nouvelles conditions générales qui modifiaient la base juridique du traitement de leurs données, passant du consentement à l'exécution d'un contrat.

Le refus de consentement a bloqué l'accès des utilisateurs à leurs comptes.

Le CPD a constaté que Meta ne respectait pas les lignes directrices en matière de transparence décrites par le RGPD.

En outre, ils ont constaté que l'entreprise n'expliquait pas assez clairement pourquoi le traitement des données à caractère personnel était nécessaire et sur quelle base juridique, comme le prévoient ses conditions générales d'utilisation.

Certains régulateurs de l'UE ont également estimé qu'il n'était pas raisonnable de citer l'exécution d'un contrat comme base juridique pour l'utilisation des services de Meta, et l'affaire a été renvoyée à l'EDPB.

L'EDPB a confirmé cette critique et a infligé à Meta une amende de 390 millions d'euros.

Comment ils ont réagi

Meta a l'intention de faire appel de l'amende et de la décision des autorités de régulation.

Dans une déclaration, Meta indique qu'il n'y a pas eu d'accord sur l'application pratique de la base juridique pour le partage des informations personnelles.

3. TikTok Limited - 345 millions d'euros (378 millions de dollars)

Le 1er septembre 2023, le populaire service de partage de vidéos et la plateforme de médias sociaux TikTok ont reçu une amende de 345 millions d'euros pour violation du RGPD part de l'autorité irlandaise chargée de la protection des données.

Pourquoi ils ont été condamnés à une amende

L'autorité de contrôle irlandaise a infligé une amende à TikTok Limited pour avoir violé les principes généraux de traitement des données énoncés par le RGPD.

Le DPC a mené l'enquête pour déterminer comment TikTok traitait les informations personnelles d'enfants de moins de 13 ans.

Ils ont notamment indiqué que TikTok rendait automatiquement publics les profils des enfants.

Comment ils ont réagi

Dans un premier temps, l'amende a fait l'objet de quelques objections.

L'autorité de surveillance de Berlin a demandé des violations du principe de loyauté en raison de l'utilisation présumée de motifs sombres par TikTok.

De l'autre côté du spectre, l'autorité italienne de protection des données a déclaré que TikTok respectait en fait les exigences en matière de vérification de l'âge.

L'affaire a été portée devant le Comité européen de la protection des données (CEPD) qui, après enquête, a décidé d'ajouter la violation supplémentaire au principe de loyauté.

4. CRITEO - 40 millions d'euros (44 millions de dollars)

Le 15 juin 2023, la société de publicité en ligne CRITEO a été condamnée par la CNIL (Commission nationale de l'informatique et des libertés) à une amende de 40 millions d'euros.

Pourquoi ils ont été condamnés à une amende

La CNIL a infligé une amende à CRITEO après avoir constaté que la société de publicité ne s'était pas assurée que les personnes concernées avaient donné leur consentement au traitement de leurs données.

L'entreprise a également été condamnée à une amende pour ne pas avoir informé les personnes concernées de leurs droits et pour ne pas avoir fourni un moyen d'agir correctement sur ces droits.

Comment ils ont réagi

Le CRITEO a critiqué l'amende infligée par la CNIL et a réfuté l'accusation selon laquelle il n'aurait pas informé les personnes concernées de ses activités de traitement.

Elles ont également fait valoir que l'amende initiale de 60 millions d'euros était excessive par rapport aux sanctions infligées par la CNIL à d'autres entreprises pour des violations similaires.

En conséquence, l'amende a été ramenée à 40 millions d'euros.

5. TikTok - 14,5 millions d'euros (15,8 millions de dollars)

Le 4 avril 2023, la plateforme de médias sociaux et le service de partage de vidéos TikTok ont reçu une amende de 14,5 millions d'euros de l'autorité britannique de protection des données, l'Information Commissioners Office (ICO), pour avoir enfreint le RGPD britannique.

Pourquoi ils ont été condamnés à une amende

L'ICO a infligé une amende à TikTok pour avoir collecté des données personnelles appartenant à des enfants sans avoir obtenu le consentement approprié des parents.

Selon l'enquête, en 2020, TikTok a collecté les données de plus d'un million d'enfants britanniques âgés de moins de 18 ans, ce qui est contraire à ses conditions générales d'utilisation.

Il a été établi que l'entreprise n'avait pas suffisamment vérifié qui utilisait sa plateforme et qu'elle n'avait pas suffisamment supprimé les comptes des enfants mineurs.

Comment ils ont réagi

Dans un premier temps, l'ICO avait imposé une amende plus élevée de 31,3 millions d'euros, mais l'a réduite après avoir décidé de ne pas poursuivre une autre infraction liée à l'utilisation présumée par TikTok de catégories spéciales de données.

La décision a réduit l'amende de moitié et TikTok a investi dans la mise à jour de ses mesures de sécurité et de ses systèmes de traitement internes.

6. Axpo Italia S.p.A. - 10 millions d'euros (10,9 millions de dollars)

Le 9 septembre 2023, l'autorité italienne de protection des données, la Garante Per La Protezione Dei Dati Personali, a infligé une amende de 10 millions d'euros à la société Axpo Italia Spa, spécialisée dans les solutions d'énergie durable, pour avoir enfreint certaines dispositions du RGPD.

Pourquoi ils ont été condamnés à une amende

La Garante a enquêté après avoir reçu de nombreuses plaintes selon lesquelles Axpo Italia S.p.A. traitait des données clients inexactes pour établir des contrats non sollicités.

Plus précisément, les vendeurs de l'entreprise acquéraient de nouveaux contrats d'électricité et de gaz en utilisant une base de données contenant des informations obsolètes. Aucune procédure ou mesure de protection n'était en place pour vérifier que les données étaient exactes et liées à des clients réels.

La Garante a déterminé que plus de 5 000 personnes concernées ont été touchées et a jugé que l'entreprise avait enfreint l'article 5, paragraphe 1, points a) et d), l'article 5, paragraphe 2, et l'article 24 du RGPD.

Comment ils ont réagi

Axpo Italia S.p.A. s'est conformée aux conclusions de l'enquête et a reçu l'ordre de mettre en œuvre des mesures correctives, notamment l'utilisation d'un système de blocage pour vérifier l'exactitude des données de ses équipes de vente et d'un système d'alerte pour détecter les comportements frauduleux.

Il leur a également été ordonné de cesser toute activité de traitement de leurs clients qui ont résilié leur contrat en raison d'activations de services non sollicitées.

7. TIM S.p.A. - 7,6 millions d'euros (8,3 millions de dollars)

L'autorité de contrôle italienne, la Garante, a estimé que la société de télécommunications TIM S.p.A. avait enfreint certains aspects du RGPD.

Pourquoi ils ont été condamnés à une amende

TIM S.p.A. s'est vu infliger une amende pour n'avoir pas répondu de manière adéquate aux demandes des personnes concernées et pour avoir supervisé des centres d'appel illégaux.

L'entreprise aurait également communiqué des données personnelles à des annuaires téléphoniques publics sans obtenir le consentement des personnes concernées.

Comment ils ont réagi

TIM S.p.A. devrait payer l'amende, car ce n'est pas la première fois qu'elle est sanctionnée pour avoir enfreint le RGPD.

8. WhatsApp Ireland Ltd. - 5,5 millions d'euros (6 millions de dollars)

Le 19 janvier 2023,WhatsApp Ireland Ltd. s'est vu infliger une amende par l'autorité irlandaise chargée de la protection des données.

Pourquoi ils ont été condamnés à une amende

WhatsApp a reçu une amende pour ne pas avoir respecté la définition du consentement du RGPD .

Les utilisateurs étaient invités à accepter les nouvelles conditions générales en cliquant sur un bouton indiquant "accepter et continuer", ce que WhatsApp considérait comme la conclusion d'un contrat et utilisait comme base juridique pour collecter des données à caractère personnel.

Toutefois, les personnes concernées se sont plaintes du fait que l'entreprise s'appuyait sur le consentement et qu'au lieu de le donner librement, WhatsApp forçait les personnes à accepter les nouvelles conditions.

Le CPD n'a pas retenu l'argument selon lequel WhatsApp cherchait en fait à obtenir un consentement, mais a estimé que l'entreprise ne respectait pas la transparence en ce qui concerne la base juridique de son traitement.

Comment ils ont réagi

WhatsApp a réagi en changeant sa base juridique pour le traitement de la plupart des données des utilisateurs en intérêt légitime, et affirme que cela ne change pas son engagement envers la vie privée des utilisateurs ou la façon dont elle traite les données des utilisateurs.

9. EOS Matrix d.o.o. - 5,4 millions d'euros (5,8 millions de dollars)

Le 5 octobre 2023, après avoir reçu une pétition contenant une clé USB contenant des informations sur 181 641 personnes, l'Agence croate de protection des données (AZOP) a infligé une amende à une société de recouvrement de créances appelée EOS Matrix d.o.o. pour avoir violé certaines parties du RGPD

Pourquoi ils ont été condamnés à une amende

EOS Matrix a violé le RGPD en ne prenant pas les mesures techniques appropriées pour protéger les données personnelles des personnes concernées.

Le groupe a également traité des données à caractère personnel de personnes qui n'étaient pas engagées dans une relation débiteur/créancier sans établir de base juridique. Le traitement portait sur des catégories particulières de données, qui n'ont pas été communiquées de manière transparente aux personnes concernées.

Comment ils ont réagi

EOS Matrix d.o.o. a nié certains aspects des allégations, affirmant qu'elle stocke en toute sécurité les données personnelles de ses consommateurs.

AZOP n'a toutefois pas maintenu son refus, car on ne sait toujours pas comment les données personnelles de ses 181 641 clients ont été exfiltrées et copiées sur la clé USB.

10. Clearview AI - 5,2 millions d'euros (5,6 millions de dollars)

Le 10 mai 2023, Clearview AI, le groupe responsable de ChatGPT, s'est vu infliger une amende par la CNIL française.

Pourquoi ils ont été condamnés à une amende

La CNIL française a infligé une amende à Clearview AI pour coopération insuffisante avec l'autorité de contrôle.

Plus précisément, la CNIL a affirmé que la société ne s'était pas conformée à des ordonnances antérieures datant de décembre 2021, lorsqu'il a été constaté que la société traitait des millions de données sans fournir de droits d'accès aux personnes concernées.

La société a reçu l'ordre de cesser de collecter et de traiter les données personnelles de personnes en France, mais n'a pas obtempéré, ce qui a conduit à une combinaison de 100 000 euros d'amendes impayées par jour pendant 52 jours.

Comment ils ont réagi

Clearview AI a nié toutes les allégations, affirmant qu'elle n'a pas de clients en France ou dans l'UE.

Les plus grosses amendes RGPD en 2022

De nombreuses amendes massives ont été infligées à des entreprises qui enfreignaient le RGPD. En effet, ces organisations ont eu plusieurs années pour se conformer à la loi européenne sur la protection des données et ne l'ont pas fait. En conséquence, elles se voient infliger des amendes considérables pour avoir violé les droits des citoyens de l'UE en matière de confidentialité des données.

1. Instagram - 405 millions d'euros (401,3 millions de dollars)

Instagram, propriété de Meta Platforms, s'est vu infliger une par le commissaire irlandais à la protection des données dans ce qui a été la deuxième amende la plus élevée jamais imposée par RGPD .

Pourquoi ils ont été condamnés à une amende

Instagram a été condamné à une amende de 405 millions d'euros pour avoir enfreint les règles relatives au traitement des données des enfants sans base légale. Les enfants âgés de 13 à 17 ans avaient leurs numéros de téléphone et leurs adresses électroniques accessibles au public s'ils géraient un compte Instagram d'entreprise ou de créateur.

Comment ils ont réagi

Instagram a déclaré qu'elle n'était pas d'accord avec le mode de calcul de l'amende et qu'elle réexaminait la décision.

2. Enel Energia - 26,5 millions d'euros (29,27 millions de dollars)

Enel Energia, un distributeur international d'électricité et de gaz dont le siège se trouve en Italie, a reçu l'amende RGPD la plus élevée de 2022 jusqu'à présent.

Pourquoi ils ont été condamnés à une amende

L'agence italienne de protection des données, appelée Garante, a décidé d'infliger une amende de 26,5 millions d'euros à Enel Energia après avoir reçu des centaines de plaintes contre l'entreprise.

L'enquête de la Garante a révélé qu'Enel Energia utilisait les données personnelles de ses clients de manière illégale. L'entreprise a utilisé ces données privées pour effectuer des appels de télémarketing sans obtenir le consentement approprié de l'utilisateur ou sans l'informer de l'utilisation qui serait faite de ses informations.

Comment ils ont réagi

Enel Energia affirme que les appels ont été effectués pour contacter les clients pendant la pandémie. Dans une déclaration envoyée par courriel à Compliance Week, Enel Energia a déclaré qu'elle "évaluerait toute action ultérieure" concernant les exigences de la Garante pour que la société mette ses activités de traitement des données en conformité avec le RGPD. L'entreprise se réserve également le droit de faire appel.

3. Clearview AI - 20 millions d'euros (20,9 millions de dollars)

Clearview AI est une société américaine de reconnaissance faciale dont le siège se trouve à New York.

Pourquoi ils ont été condamnés à une amende

Clearview AI collecte des selfies et des images sur l'internet et les compile dans une base de données pour la reconnaissance faciale qu'elle vend ensuite à des tiers (comme les forces de l'ordre). L'entreprise a été condamnée à une amende de été condamnée à une amende de 20 millions d'euros par l'autorité italienne de (Garante della privacy) après avoir enquêté sur plusieurs plaintes.

La Garante a constaté que Clearview AI avait traité des données à caractère personnel, y compris des informations biométriques et de géolocalisation, sans disposer d'une base juridique appropriée. Elle a également violé les principes de transparence, de limitation de la finalité et de limitation du stockage énoncés dans RGPD .

En Italie, il est désormais interdit à Clearview AI de collecter des images et de traiter les données. Il lui a également été ordonné d'effacer les données dont elle disposait sur toute personne se trouvant en Italie.

Comment ils ont réagi

Clearview AI Hoan Ton-That, PDG de Clearview AI, a déclaré que Clearview AI n'a pas d'activités commerciales ni de clients en Italie ou dans l'Union européenne, et qu'elle n'est donc pas soumise au RGPD.

4. Clearview AI - 20 millions d'euros (20,9 millions de dollars)

La Commission nationale de l'informatique et des libertés (CNIL) a également estimé que Clearview AI avait enfreint le RGPD .

Pourquoi ils ont été condamnés à une amende

La CNIL a ouvert une enquête sur Clearview AI en 2020 après avoir reçu des plaintes concernant le logiciel de reconnaissance faciale. En novembre 2021, elle a ordonné à Clearview de supprimer toutes les données des personnes se trouvant sur le territoire français, car elle ne disposait pas d'une base légale pour protéger les droits des personnes et donner suite aux demandes de suppression.

La CNIL a infligé une amende à Clearview AI pour avoir traité illégalement des données personnelles et ne pas avoir protégé les droits des personnes se trouvant sur le territoire français.

Comment ils ont réagi

Clearview AI a répondu qu'il était impossible de déterminer à partir de photos publiques sur Internet qui se trouvait sur le territoire français et qu'elle ne pouvait donc pas supprimer les données. Elle a également déclaré qu'elle ne collectait que des informations publiques et qu'elle n'exerçait pas d'activité en France ou dans l'UE et qu'elle n'était donc pas soumise au RGPD.

5. Clearview AI - 20 millions d'euros (20,9 millions de dollars)

L'Agence hellénique de protection des données en Grèce a également infligé une amende à Clearview AI pour avoir enfreint le RGPD.

Pourquoi ils ont été condamnés à une amende

Clearview AI a été a violé les principes du RGPD en collectant des photos et des selfies sans consentement. de légalité et de transparence en collectant des photos et des selfies sans consentement.

Comment ils ont réagi

Encore une fois, Clearview AI a répondu, en déclarant qu'elle n'avait pas de clients ni d'établissement en Grèce ou dans l'UE et qu'elle n'était donc pas soumise au RGPD.

6. Meta Platforms Ireland Limited - 17 millions d'euros (18,7 millions de dollars)

Meta Platforms Ireland Limited (Meta), anciennement Facebook Ireland Limited, s'est vu infliger une amende par la Commission de protection des données (DPC) en Irlande. 

Pourquoi ils ont été condamnés à une amende

Le DPC a enquêté sur Meta après avoir reçu la notification de 12 violations de données entre juin 2018 et décembre 2018. Après enquête, il a constaté que Meta ne disposait pas des mesures techniques et organisationnelles appropriéesIl n'a donc pas pu démontrer les mesures de sécurité qu'il avait prises pour protéger les données des utilisateurs.

Le CPD a infligé à Meta une amende de 17 millions d'euros.

Comment ils ont réagi

A Le représentant de Meta a réagi à la décision du DPC: "Cette amende concerne des pratiques de tenue de registres datant de 2018 que nous avons depuis mises à jour, et non un manquement à la protection des informations des personnes. Nous prenons au sérieux nos obligations en vertu du RGPD et nous examinerons attentivement cette décision alors que nos processus continuent d'évoluer."

7. Google LLC - 10 millions d'euros (10,47 millions de dollars)

Google a été a été condamné à une amende de 10 millions d'euros par l'autorité espagnole de protection des données(Agencia Española de Protección de Datos - AEPD) après qu'elle ait ouvert une enquête.

Pourquoi ils ont été condamnés à une amende

L'AEPD a constaté que Google transférait des données collectées auprès de citoyens de l'UE au projet Lumen, un projet de recherche basé aux États-Unis, sans leur autorisation. En outre, le formulaire que les utilisateurs devaient remplir pour supprimer leurs informations était compliqué et violait donc le droit à l'oubli.

Pour ces deux infractions, Google a été condamné à une amende de 5 millions d'euros.

Comment ils ont réagi

A Un représentant de Google a maintenu la promesse de transparence de l'entreprise et a indiqué qu'elle réexaminerait la décision afin de revoir ses pratiques et de se conformer à la réglementation en matière de protection de la vie privée.

8. Clearview AI Inc. - 8,75 millions d'euros (9,34 millions de dollars)

Clearview AI s'est également vu infliger une amende par l'agence de protection des données du Royaume-Uni.

Pourquoi ils ont été condamnés à une amende

L'Information Commissioner's Office (ICO) a constaté que Clearview AI collectait les images pour son logiciel de reconnaissance faciale sans raison légale. Il a ordonné à Clearview AI de supprimer les données collectées sur les résidents britanniques.

Comment ils ont réagi

Le directeur général de Clearview AI, Hoan Ton-That, a déclaré Le PDG de Clearview AI, Hoan Ton-That, a déclaré que l'ICO avait "mal interprété" sa technologie et ses motivations. Il a affirmé que Clearview AI ne recueillait que des informations publiques et respectait toutes les lois et normes relatives à la confidentialité des données.

9. REWE International - 8 millions d'euros (9 millions de dollars)

L'autorité autrichienne de protection des données (DPA) a infligé une amende de 8 millions d'euros au détaillant alimentaire autrichien REWE International.

Pourquoi ils ont été condamnés à une amende

L'entreprise a été condamnée à une amende pour avoir mal géré les données des utilisateurs participant à son programme de fidélisation. Le programme, appelé jö Bonus Club, a collecté les données de ses utilisateurs sans leur consentement et les a utilisées à des fins de marketing.

Comment ils ont réagi

REWE International a l'intention de faire appel de la décision. L'entreprise fait valoir que jö Bonus Club est une filiale qui opère indépendamment de REWE International dans son ensemble. Par conséquent, selon cet argument, c'est jö Bonus Club qui est responsable de l'utilisation des données des clients, et non REWE International.

La société mère affirme en outre que cela signifie que jö Bonus Club devrait être condamné à une amende à la place. Cela réduirait considérablement l'amende puisque les pénalités RGPD sont fixées en fonction des revenus de l'organisation sanctionnée. Toutefois, il n'est pas certain que ce recours permette de réduire l'amende.

10. Cosmote Mobile Telecommunications - 6 millions d'euros (6,6 millions de dollars)

L'opérateur grec de téléphonie mobile Cosmote Mobile Telecommunications a été condamné à une amende de 6 millions d'euros par l'Autorité hellénique de protection des données (HDPA).

Pourquoi ils ont été condamnés à une amende

L'amende a deux causes principales. Tout d'abord, un piratage en septembre 2020 des données privées de l'entreprise a conduit à une violation importante des données, exposant les informations privées des clients.

Deuxièmement, il a été constaté que l'entreprise traitait illégalement les données de ses clients. En conséquence, le piratage de septembre a exposé beaucoup plus de données qu'il n'aurait dû. En outre, les données privées n'étaient pas entièrement pseudonymisées, ce qui a permis aux pirates d'identifier plus facilement des personnes sur la base des données divulguées.

Comment ils ont réagi

L'entreprise n'a pas encore réagi à l'amende.

11. Interserve Group Limited - 5 millions d'euros (4,94 millions de dollars)

Interserve Group Limited est une entreprise britannique de construction et de services d'assistance dont le siège se trouve au Royaume-Uni. Elle a été reconnue coupable d'avoir enfreint le RGPD à la suite d'une violation de données survenue il y a deux ans.

Pourquoi ils ont été condamnés à une amende

L'ICO britannique a estimé qu'Interserve Group Limited n'avait pas sécurisé les données personnelles de ses employés, ce qui a conduit à une cyberattaque entre mars et mai 2020, au cours de laquelle les données de 113 000 employés ont été affectées. Les données personnelles, y compris les coordonnées, les numéros d'assurance nationale, les coordonnées bancaires et les données de catégorie spéciale (origines ethniques, religion, handicaps, orientation sexuelle et informations sur la santé) ont été exposées.

Ce manquement à l'obligation de sécuriser les données personnelles et de mettre en place des mesures de protection appropriées constitue une violation du RGPD.

Comment ils ont réagi

Un représentant d Un représentant d'Interserve a déclaréMalgré les incohérences entre l'avis de sanction de l'ICO et le communiqué de presse, et les préoccupations selon lesquelles l'ICO n'a pas suivi une procédure juste et appropriée, Interserve continuera à donner la priorité aux intérêts de son personnel passé et présent, de ses contreparties et d'autres parties prenantes tout en s'engageant avec l'ICO à résoudre leurs enquêtes".

Interserve a jusqu'au 21 novembre 2022 pour payer l'amende, à moins qu'elle ne fasse appel de la décision dans les 28 jours suivant l'émission de l'amende (24 octobre 2022). 

12. Uber B.V. et Uber Technologies, Inc. - 4,24 millions d'euros (4,47 millions de dollars)

La célèbre société de transport Uber s'est vu infliger a été condamnée à une amende de 4,24 millions d'euros par les autorités italiennes chargées de la protection des données.. Uber B.V. est une société de droit néerlandais et Uber Technologies, Inc. est la société mère américaine.

Pourquoi ils ont été condamnés à une amende

En 2016, Uber a été victime d'une violation de données : 57 millions d'utilisateurs dans le monde ont vu leurs données personnelles piratées, notamment leur nom, leur prénom, leur numéro de téléphone, leur adresse électronique, leurs identifiants d'accès à l'application, leurs données de localisation et des données relatives à d'autres utilisateurs, comme les trajets partagés. En Italie, 52 000 conducteurs et 243 000 passagers ont été touchés. 

L'autorité italienne de protection des données a estimé qu'Uber avait enfreint le RGPD. La politique de confidentialité qu'Uber a fournie à ses utilisateurs était insuffisante. En outre, Uber a traité des données sans leur consentement. Enfin, Uber n'a pas respecté son obligation de notifier à l'autorité italienne de protection des données le traitement des données à des fins de géolocalisation. 

Comment ils ont réagi

Tout au long de la procédure, Uber a déclaré qu'elle avait toujours fourni à ses utilisateurs des informations sur la manière dont le traitement des données était effectué et qu'elle avait fourni à ses utilisateurs des politiques de confidentialité mises à jour. Elle a déclaré avoir partagé ses procédures et politiques avec l'autorité de protection des données en 2015, et l'autorité de protection des données n'a jamais remis en question quoi que ce soit.

Les arguments d'Uber n'ont pas été suffisants pour surmonter les violations du RGPD .

13. Vodafone España - 3,94 millions d'euros (4 millions de dollars)

Vodafone España a été l'agence espagnole de protection des données a infligé une amende à Vodafone España AEPD pour avoir violé le RGPD après avoir mené une enquête.

Pourquoi ils ont été condamnés à une amende

L'AEPD a constaté que les méthodes utilisées par Vodafone pour dupliquer les cartes SIM violaient une perte de confidentialité et transféraient des données personnelles à un tiers. L'enquête a également révélé que Vodafone ne disposait pas d'un programme de conformité RGPD suffisant avec des mesures de sécurité suffisantes, ce qui augmentait le risque d'usurpation d'identité.

Comment ils ont réagi

Vodafone n'est pas d'accord et a déclaré que sa priorité était la protection de la vie privée de ses clients.

14. Administration fiscale et douanière néerlandaise - 3,7 millions d'euros (3,8 millions de dollars)

L'administration fiscale et douanière néerlandaise est le service de recouvrement des impôts et des douanes aux Pays-Bas. Elle a été par l'Autorité néerlandaise de protection des données.

Pourquoi ils ont été condamnés à une amende

L'administration fiscale et douanière néerlandaise a été reconnue coupable d'avoir traité illégalement des données à caractère personnel en conservant une liste noire dans son Fraude Signalering Voorziening (FSV) - ou "service d'identification des fraudes" - qu'elle utilisait pour enregistrer les fraudes présumées. De nombreuses personnes ont été inscrites à tort sur cette liste. 

L'agence néerlandaise de protection des données a constaté que

• Il n'y avait pas de base légale pour la collecte des informations
• L'objectif n'a pas été précisé
• Les données ont été stockées trop longtemps
• Les données n'étaient pas protégées
• Ils n'ont pas fait appel à un délégué à la protection des données lors de leurs évaluations.

Comment ils ont réagi

L'administration fiscale et douanière néerlandaise peut faire opposition à l'amende. Elle a déjà présenté ses excuses à 60 personnes lésées par cette "liste noire".

15. Groupe OTE - 3,25 millions d'euros (3,59 millions de dollars)

Dans le cadre de l'amende susmentionnée, le groupe OTE, société mère de Cosmote, s'est également vu infliger une amende par l'HDPA.

Pourquoi ils ont été condamnés à une amende

Cette amende supplémentaire de 3,25 millions d'euros a été infligée séparément après que l'enquête Cosmote a établi que l'OTE aurait dû être inclus dans le processus dès le début, mais ne l'avait pas été.

Le HDPA a également constaté que l'OTE Group était partiellement responsable du piratage des données de Cosmote. Le pirate a utilisé un mot de passe d'administrateur du groupe OTE pour entrer dans les systèmes de Cosmote. L'HDPA a donc infligé une amende supplémentaire à l'OTE Group pour n'avoir pas sécurisé correctement ses systèmes de données.

16. Amazon Road Transport - 2 millions d'euros (2,27 millions de dollars)

Amazon Road Transport s'est vu infliger l'agence espagnole de protection des données (AEPD)..

Pourquoi ils ont été condamnés à une amende

L'AEPD a commencé à enquêter sur une plainte déposée contre Amazon Road Transport. Il a constaté que lors de l'embauche de chauffeurs routiers indépendants, Amazon exigeait que les contractants fournissent un certificat prouvant l'absence de casier judiciaire (un certificat négatif). Amazon a également demandé à ces entrepreneurs de consentir à ce que ces données (certificats négatifs) soient transférées à des sociétés du groupe et à des fournisseurs situés en dehors de l'Espace économique européen.

L'AEPD a déterminé que ces certificats négatifs constituaient des données à caractère personnel. Et comme aucune loi espagnole n'autorisait une entreprise à traiter les antécédents criminels de ses chauffeurs de camion, Amazon ne disposait d'aucune base juridique pour exiger des certificats négatifs.

En outre, le consentement donné n'est pas éclairé car aucune information n'est donnée sur le traitement, la finalité, la base juridique ou la manière de retirer le consentement. Enfin, le consentement n'est pas donné volontairement parce qu'il s'agit d'une condition pour avancer dans la procédure d'embauche.

Comment ils ont réagi

Amazon a tenté de faire valoir que le certificat était légitime parce qu'il garantissait la sécurité des clients. L'AEPD n'a pas été convaincue. 

17. Easylife Limited - 1,53 million d'euros (1,6 million de dollars)

Easylife Limited est un détaillant de catalogues.

Pourquoi ils ont été condamnés à une amende

L'ICO britannique a découvert qu'Easylife avait établi des profils sur 145 400 personnes pour en déduire des problèmes de santé sans leur consentement. Les déductions ont été faites à partir des produits achetés par les clients dans le catalogue de santé d'Easylife.

Parce qu'elle n'a pas informé ses clients de l'utilisation de leurs données, l'ICO a estimé qu'Easylife avait enfreint l'article du RGPD interdisant le traitement "illégal et invisible" de données appartenant à une catégorie particulière.

Comment ils ont réagi

Easylife a déclaré qu'elle ferait appel de la décision de l'OIC. Si Easylife décide de faire appel, elle a jusqu'au 1er novembre 2022 pour le faire.

18. Dedalus Biologie - 1,5 million d'euros (1,56 million de dollars)

Dedalus Biologie, un fournisseur de logiciels médicaux en Europe, s'est vu infliger une amende par l'agence française de protection des données (CNIL).

Pourquoi ils ont été condamnés à une amende

L'autorité française de protection des données a infligé à Dedalus Biology une amende de 1,5 million d'euros pour violation du RGPD. Sa base de données a fait l'objet d'une fuite en ligne et a révélé les noms et prénoms des patients, leurs numéros de sécurité sociale, les noms des médecins, les dates d'examen, les informations médicales et les informations génétiques.

La CNIL a constaté que Dedalus Biologie n'avait pas respecté les instructions du responsable du traitement en extrayant plus d'informations que nécessaire, y compris des informations de santé à caractère personnel. La CNIL a également constaté que Dedalus avait manqué à son obligation de sécuriser les données à caractère personnel.

Comment ils ont réagi

Dedalus Biologie a réagi à la décision en déclarant sa volonté d'améliorer sa sécurité et sa conformité au RGPD .

Les plus grosses amendes RGPD en 2021

2021 est l'année la plus récente pour laquelle nous disposons de 12 mois complets de données sur l'émission d'amendes RGPD .

C'est également l'année où les cinq amendes RGPD les plus élevées ont été infligées. Cela s'explique probablement par le fait que l'infrastructure permettant d'enquêter sur les infractions au RGPD est arrivée à maturité en 2021.

En conséquence, les grandes entreprises qui opèrent à l'échelle mondiale ont pu faire l'objet d'un audit précis, et nombre d'entre elles ont été jugées insuffisantes en termes de protection des données.

Voici les plus grosses amendes de l'année 2021, dont celle, record, d'Amazon.

1. Amazon - 746 millions d'euros (823,9 millions de dollars)

Cette amende n'est pas seulement l'amende RGPD la plus élevée de 2021 - c'est aussi l'amende RGPD la plus élevée jamais émise.

La Commission nationale luxembourgeoise a infligé une amende de 746 millions d'euros à la base européenne d'Amazon au Luxembourg pour la protection des données (NCDP).

Cette sanction est près de trois fois supérieure à l'amende la plus élevée infligée RGPD .

Pourquoi ils ont été condamnés à une amende

La NCDP a été incitée à ouvrir une enquête après que l'ONG française La Quadrature du Net a déposé une plainte au nom de 10 000 clients d'Amazon. La Quadrature du Net s'est plainte qu'Amazon suivait manifestement les données des utilisateurs de manière inadmissible pour réaliser sa publicité ciblée.

Au cours de l'enquête, le NCDP a découvert qu'Amazon suivait les données de ses utilisateurs sans avoir obtenu le consentement approprié. Toutefois, l'organisation n'a pas divulgué de détails spécifiques au nom du secret professionnel.

Comment ils ont réagi

Amazon a clairement fait savoir qu'elle avait l'intention de s'opposer à cette décision. L'argument de l'entreprise est qu'en l'absence de violation de données ou d'exposition de données privées à des tiers, ses pratiques n'enfreignent pas le RGPD. Cependant, La Quadrature du Net a répondu que "c'est le système de publicité ciblée lui-même, et pas seulement des failles de sécurité occasionnelles, que notre action en justice a attaqué".

Il reste à voir si l'appel aboutira.

2. WhatsApp - 225 millions d'euros (248,5 millions de dollars)

Juste après l'amende d'Amazon, l'entreprise d'applications de communication WhatsApp est la deuxième amende RGPD la plus élevée de 2021 et de tous les temps.

Pourquoi ils ont été condamnés à une amende

La Commission irlandaise de protection des données (DPC) a enquêté sur les processus de traitement des données de WhatsApp et a constaté de multiples violations, ce qui lui a valu une amende de 225 millions d'euros. La DPC a déterminé que WhatsApp n'avait pas fourni aux utilisateurs une transparence appropriée sur la manière dont elle utilisait les données. Elle a également constaté que WhatsApp n'avait pas fourni aux utilisateurs des politiques de confidentialité suffisamment claires.

Comment ils ont réagi

Toutefois, le montant de l'amende est sujet à débat. WhatsApp a fait appel de la décision de la DPC, arguant qu'elle fournit à tous les utilisateurs des informations précises sur l'utilisation des données. La décision du CPD a également été contestée par d'autres pays de l'UE, dont la France, l'Allemagne et l'Italie, qui ont débattu des détails du raisonnement du CPD.

L'amende pourrait ne pas diminuer même si l'appel entraîne des changements. Au contraire, le Comité européen de la protection des données a spécifiquement demandé à la DPC de réévaluer l'amende et de fixer un montant plus élevé, alors que la proposition initiale de l'agence prévoyait un montant compris entre 30 et 50 millions d'euros.

L'appel de WhatsApp est en cours.

3. Google Ireland - 60 millions d'euros (66 millions de dollars)

L'Irlande est également à l'origine d'une autre amende RGPD élevée de 2021.

Pourquoi ils ont été condamnés à une amende

La Commission nationale de l'informatique et des libertés (CNIL) a infligé une amende de 60 millions d'euros à la filiale irlandaise de Google dans le cadre de l'application du RGPD , après avoir constaté que l'entreprise n'avait pas respecté les exigences du RGPDen matière de cookies, notamment parce qu'il était difficile de les refuser sur YouTube. Le RGPD exige des entreprises qu'elles facilitent de la même manière l'acceptation et le refus des cookies.

Mais pourquoi une autorité française a-t-elle infligé une amende à une entreprise irlandaise ?

La CNIL a fait valoir que l'amende était en partie liée à la directive européenne "vie privée et communications électroniques", et pas seulement au RGPD. La directive "vie privée et communications électroniques" permet aux autorités de régulation de prendre des mesures directes à l'encontre de tout site web opérant dans leur juridiction.

Par conséquent, le manque de conformité de Google Ireland en matière de cookies était un problème que la CNIL pouvait traiter directement au lieu de le renvoyer à la DPC.

Comment ils ont réagi

Le porte-parole de Google a déclaré : "Les gens nous font confiance pour respecter leur droit à la vie privée et assurer leur sécurité. Nous sommes conscients de notre responsabilité de protéger cette confiance et nous nous engageons à apporter d'autres changements et à travailler activement avec la CNIL à la lumière de cette décision".

4. Google - 90 millions d'euros (99 millions de dollars)

Oui, Google est à l'origine de plusieurs amendes qui se sont retrouvées en tête des hit-parades au cours de la même année civile.

Pourquoi ils ont été condamnés à une amende

Google a été jugé partiellement responsable du même problème de conformité en matière de cookies que Google Ireland. La CNIL a déterminé que Google LLC, la branche américaine de la société, était également responsable de l'absence de refus simple des cookies par Youtube.

Cette décision montre que les grandes entreprises peuvent se voir infliger plusieurs amendes. Par exemple, si une entreprise possède plusieurs succursales dans différents pays, chacune de ces filiales pourrait être exposée à des amendes importantes liées à l'application du RGPD .

5. Facebook - 60 millions d'euros (66 millions de dollars)

Il s'agit de la troisième amende RGPD massive émanant de la CNIL en 2021.

Pourquoi ils ont été condamnés à une amende

La filiale irlandaise de Facebook, Facebook Ireland Limited, a été condamnée à une amende au même titre que Google Ireland et Google LLC. La CNIL a constaté que Facebook France, filiale de Facebook Ireland, demandait aux utilisateurs de sélectionner plusieurs options pour refuser tous les cookies non essentiels, mais une seule option pour accepter tous les cookies.

Selon la CNIL, il s'agit d'une violation des règles du RGPD et de la directive "vie privée et communications électroniques" relatives à l'utilisation des cookies. L'amende s'élève à 60 millions d'euros sur la base du chiffre d'affaires de Facebook.

Comment ils ont réagi

Facebook a fait appel de l'amende. L'entreprise fait valoir que la CNIL tente en fait d'appliquer ses lignes directrices et recommandations nationales plutôt que la directive "vie privée et communications électroniques" ou le RGPD.

Facebook soutient que la CNIL ne devrait pouvoir infliger des amendes qu'à Facebook France et non à Facebook Irlande, ce qui réduirait considérablement les amendes que l'entreprise devrait payer en fonction de son chiffre d'affaires.

6. Notebookbilliger.de - 10,4 millions d'euros (11,5 millions de dollars)

Le détaillant allemand de produits électroniques en ligne Notebookbilliger.de s'est vu infliger une amende de 10,4 millions d'euros par le commissaire à la protection des données de l'État allemand de Basse-Saxe.

Pourquoi ils ont été condamnés à une amende

Le commissaire avait ordonné une enquête sur les pratiques de collecte de données de Notebookbilliger.de. L'enquête a révélé que Notebookbilliger.de avait installé des caméras de télévision en circuit fermé sur les lieux de travail, dans les espaces de vente, dans les parties communes et dans les entrepôts de l'entreprise. Ces images étaient conservées pendant 60 jours.

Si la vidéosurveillance est autorisée par le RGPD, elle doit être effectuée pour une raison légale et uniquement lorsque les autres méthodes de prévention de la criminalité n'ont pas donné de résultats. En outre, la vidéosurveillance doit être limitée, ce qui n'était pas le cas dans les espaces de vente.

Le commissaire a estimé que l'utilisation de la vidéosurveillance par Notebookbilliger.de était disproportionnée et a infligé une amende à l'entreprise en conséquence.

Comment ils ont réagi

Le PDG de l'entreprise a fait valoir que cette amende était injuste, disproportionnée et qu'elle n'avait pas fait l'objet d'une enquête approfondie. Notebookbilliger.de a fait appel de l'amende.

7. Austrian Post - 9,5 millions d'euros (10,5 millions de dollars)

Si l'Autriche n'est pas aussi agressive que la France dans l'application du RGPD , elle reste l'un des pays les plus fermes en matière de protection des données. Par exemple, l'autorité autrichienne de protection des données a infligé une amende de 9,5 millions d'euros à la poste autrichienne pour non-respect du RGPD.

Pourquoi ils ont été condamnés à une amende

Selon l'autorité autrichienne de protection des données, la poste autrichienne a refusé que les personnes se renseignent sur leurs données personnelles stockées par courrier électronique. Bien que l'agence ait autorisé plusieurs autres méthodes de demande, elle a spécifiquement refusé les courriels. L'autorité autrichienne de protection des données a estimé que ce refus constituait une charge excessive pour les clients et qu'il était contraire au RGPD.

Cette amende intervient après que la Cour administrative fédérale autrichienne a annulé une précédente amende de 18 millions d'euros infligée par RGPD à la poste pour avoir traité les données des clients afin de déterminer les affiliations politiques des citoyens autrichiens.

Comment ils ont réagi

La Poste a déclaré qu'elle ferait appel de cette amende comme elle a fait appel de la précédente.

8. Vodafone España - 8,15 millions d'euros (9 millions de dollars)

L'opérateur de télécommunications espagnol Vodafone España s'est vu infliger une amende de 8,15 millions d'euros en 2021 pour "violations multiples et répétées RGPD ".

Pourquoi ils ont été condamnés à une amende

Selon l'Agencia Española Proteccion Datos (AEPD), Vodafone a violé trois articles du RGPD et de nombreuses autres lois espagnoles sur la protection des données.

Vodafone a utilisé les données de ses clients pour effectuer des appels de télémarketing illégaux. En outre, les clients qui ont demandé que ces appels cessent ont continué à recevoir des appels de télémarketing à un rythme agressif. Il semble que cela soit dû à la décision de Vodafone d'utiliser des agences de marketing tierces qui n'ont pas accès aux listes de numéros de téléphone exclus que l'entreprise est tenue de conserver.

Comment ils ont réagi

Vodafone a fait valoir que ses actions n'étaient pas contraires au RGPD et qu'elle ferait appel de l'amende. L'entreprise a reçu plus de 30 amendes au RGPD au cours des quatre années qui ont suivi l'entrée en vigueur de la loi.

9. Grindr - 6,3 millions d'euros (7 millions de dollars)

L'application de rencontres Grindr, basée aux États-Unis, a reçu une amende de 6,3 millions d'euros de la part de la DPA norvégienne.

Pourquoi ils ont été condamnés à une amende

L'amende est basée sur des accusations selon lesquelles l'entreprise a envoyé des données personnelles sensibles à des annonceurs tiers sans leur consentement.

Bien que la Norvège ne soit pas membre de l'UE, le pays a adopté et applique le RGPD. Ainsi, lorsque le Conseil norvégien des consommateurs a déposé une plainte auprès de la DPA au motif que Grindr partageait des données privées telles que la localisation GPS, les adresses IP, l'âge et le sexe des utilisateurs, la DPA s'est appuyée sur les lignes directrices RGPD pour enquêter sur l'entreprise.

Selon le RGPD, Grindr demande aux utilisateurs d'accepter la politique de confidentialité dans son intégralité pour utiliser l'application. Le RGPD interdit spécifiquement aux services de demander aux utilisateurs d'accepter que des données non essentielles soient enregistrées et traitées pour accéder au service.

En outre, la DPA a constaté que les utilisateurs n'étaient pas informés de la manière dont leurs données étaient utilisées et qu'ils ne pouvaient pas donner leur consentement à cette utilisation.

Comment ils ont réagi

Grindr a annoncé son intention de faire appel de la décision en arguant qu'il a modifié ses pratiques et qu'il est désormais en conformité avec les exigences du RGPD .

10. CaixaBank - 6 millions d'euros (6,6 millions de dollars)

Une autre amende de l'AEPD espagnol a été infligée à la banque espagnole CaixaBank.

Pourquoi ils ont été condamnés à une amende

Cette amende de 6 millions d'euros a été infligée au motif que CaixaBank ne satisfaisait pas aux exigences du RGPDen matière de consentement valide et que ses méthodes d'obtention du consentement étaient inadéquates. L'AEPD a également constaté que CaixaBank a effectué des "transferts illicites" de données personnelles à d'autres entreprises avec son terrain bancaire.

Les banques ont accès à un grand nombre de données sensibles concernant les utilisateurs, qu'il s'agisse de données financières ou de numéros d'identification. Par conséquent, le fait de ne pas informer les utilisateurs de l'utilisation qui sera faite de leurs données et de les transférer à d'autres entreprises constitue, par définition, une violation de plusieurs éléments du RGPD.

Comment ils ont réagi

CaixaBank fera appel de la décision.

11. Fastweb S.p.A - 4,5 millions d'euros (5 millions de dollars)

Après avoir reçu des centaines de plaintes de clients, la Garante, la DPA italienne, a infligé une amende de 4,5 millions d'euros au fournisseur d'accès à Internet italien Fastweb pour avoir enfreint le RGPD .

Pourquoi ils ont été condamnés à une amende

Selon la Garante, Fastweb a utilisé les données de ses clients pour effectuer des appels promotionnels de télémarketing sans leur consentement. Fastweb a déjà été condamnée à une amende pour des infractions similaires dans le passé.

L'amende est également assortie d'autres obligations. Fastweb devra également prouver qu'à l'avenir, tous les appels de télémarketing seront effectués par l'intermédiaire de numéros enregistrés. En outre, l'entreprise ne sera plus autorisée à utiliser des listes de données clients provenant d'autres fournisseurs sans avoir la preuve que les utilisateurs ont consenti à ce que leurs données soient utilisées à des fins de marketing.

Comment ils ont réagi

Fastweb a coopéré à l'enquête et n'a pas contesté l'amende.

12. Sky Italia - 3,3 millions d'euros (3,6 millions de dollars)

La Garante a infligé une nouvelle amende importante dans le domaine des télécommunications à la plateforme de télévision italienne Sky Italia.

Pourquoi ils ont été condamnés à une amende

Comme dans le cas de Fastweb, l'amende de 3,3 millions d'euros a été infligée parce que Sky Italia a traité et utilisé de manière inappropriée les données de ses clients à des fins promotionnelles. En conséquence, les clients de Sky Italia ont reçu des appels de télémarketing non sollicités qui n'ont pas cessé lorsqu'ils ont demandé à la société de ne plus les contacter.

De même, comme Fastweb, Sky Italia n'est plus autorisée à effectuer des appels commerciaux par l'intermédiaire de numéros non enregistrés et ne peut plus utiliser de listes de contacts de tiers sans preuve de consentement.

Comment ils ont réagi

Sky Italia ne fait pas appel de l'amende.

13. Caixabank Payments & Consumer - 3 millions d'euros (3,3 millions de dollars)

Oui, CaixaBank a reçu deux amendes distinctes du RGPD en 2021. Cette affaire n'est pas liée à l'amende de 6 millions d'euros également infligée par l'AEPD espagnole.

Pourquoi ils ont été condamnés à une amende

Dans cette affaire, l'enquête a révélé que la filiale de CaixaBank, Caixabank Payments & Consumer EFC, traitait des données à caractère personnel pour des raisons illégales et a infligé une amende de 3 millions d'euros à la banque.

Selon l'AEPD, CaixaBank a demandé des informations individuelles à partir de fichiers de solvabilité alors qu'elle n'avait pas de contrats actifs avec ces personnes. En outre, la banque a utilisé ces données pour soutenir des campagnes de marketing sans le consentement des personnes concernées.

Comment ils ont réagi

CaixaBank affirme que son utilisation des données était autorisée et fait appel de l'amende infligée par l'AEPD.

14. Iren Mercato - 2,9 millions d'euros (3,2 millions de dollars)

La Garante a été occupée en 2021. L'agence a également infligé une amende de 2,9 millions d'euros à Iren Mercato, une entreprise italienne du secteur de l'énergie, pour n'avoir pas respecté les exigences du RGPDen matière de traitement des données.

Pourquoi ils ont été condamnés à une amende

La Garante a déterminé qu'Iren Mercato avait accepté et traité des données privées provenant de diverses autres sources sans avoir reçu le consentement de ces personnes pour utiliser ces données à des fins de télémarketing.

Le RGPD exige de toutes les organisations qu'elles traitent la quantité minimale de données nécessaires à l'exécution de leurs services. En outre, le règlement exige que tous les utilisateurs aient la possibilité de donner leur consentement avant qu'une organisation ne traite leurs données, ce qu'Iren Mercato n'a pas fait, d'où l'amende.

Comment ils ont réagi

Iren Mercato n'a pas fait de déclaration publique quant à l'appel de la décision.

15. Ministre néerlandais des finances - 2,75 millions d'euros (3 millions de dollars)

Même les gouvernements et les fonctionnaires ne sont pas à l'abri du RGPD. Par exemple, le ministre néerlandais des finances a été contraint de payer une amende de 2,75 millions d'euros après que l'autorité nationale néerlandaise de protection des données a déterminé que l'administration fiscale avait enregistré et traité les nationalités des personnes de manière illégale.

Pourquoi ils ont été condamnés à une amende

En vertu du RGPD, aucune organisation ne peut tracer des informations personnelles telles que la nationalité, sauf pour une "raison légale". Les organisations ne peuvent pas non plus tracer ces données sans consentement. L'administration fiscale néerlandaise a utilisé des informations sur la nationalité des personnes pour effectuer des remboursements discriminatoires et illégaux de prestations de garde d'enfants et pour mener des enquêtes frauduleuses à l'encontre de parents.

Comment ils ont réagi

Le ministre néerlandais des finances n'a pas réussi à faire appel de l'amende.

16. Foodinho - 2,6 millions d'euros (2,9 millions de dollars)

La société italienne de livraison de produits alimentaires Foodinho a été la cible d'une nouvelle amende de plusieurs millions d'euros infligée par la Garante.

L'agence a examiné le système d'évaluation des coureurs et les avis de confidentialité de Foodinho et les a jugés insuffisants, ce qui lui a valu une amende de 2,6 millions d'euros.

Pourquoi ils ont été condamnés à une amende

En particulier, le système d'évaluation des coureurs de Foodinho a été jugé susceptible d'encourager la discrimination fondée sur les informations personnelles d'un coureur. Le système automatisé de Foodinho peut avoir empêché les coureurs d'obtenir du travail en raison de préjugés inconscients liés aux données personnelles des coureurs.

Dans le même temps, la Garante a estimé que Foodinho n'était pas suffisamment claire pour que les clients puissent donner un consentement valable quant à l'utilisation de leurs données.

Comment ils ont réagi

Foodinho a annoncé qu'elle envisageait de faire appel de la décision. L'entreprise a également déclaré que le respect du RGPD était l'une de ses principales priorités.

Les plus grosses amendes RGPD en 2020

En 2020, il y avait encore un grand nombre d'amendes de grande valeur. Toutefois, les amendes de cette année-là n'ont pas tout à fait atteint le même pic à neuf chiffres que celui qu'elles atteindront plus tard. En 2020, de nombreuses entreprises qui ne sont pas manifestement actives dans le secteur des données ont découvert qu'elles seraient tenues de respecter les normes du RGPDcomme n'importe quelle autre entreprise. Les amendes les plus élevées du RGPD pour 2020 comprenaient :

1. H&M - 35,3 millions d'euros (39 millions de dollars)

Si le détaillant de vêtements H&M ne vient pas immédiatement à l'esprit en tant que collecteur de données, l'entreprise traite en fait quotidiennement un grand nombre de données sur ses clients.

Pourquoi ils ont été condamnés à une amende

Les régulateurs allemands ont constaté que H&M violait les exigences du RGPDen conservant un nombre excessif d'informations sur son personnel, y compris des détails sur les familles, les religions et les maladies des employés. La DPA allemande a donc infligé une amende de 35,3 millions d'euros, ce qui constituait, à l'époque, la deuxième amende la plus élevée jamais imposée par RGPD .

Cette action viole l'exigence du RGPDselon laquelle les organisations ne conservent les données qu'à des fins légales. Étant donné que les croyances familiales et religieuses n'affectent pas les capacités d'un travailleur, une entreprise n'a aucune raison de suivre ces données. Cependant, H&M n'a pas tenu compte de cette règle et a réalisé des enquêtes invasives auprès du personnel sur ces questions, et a conservé les données pendant de longues périodes.

Comment ils ont réagi

Après l'imposition de l'amende, H&M a accepté l'entière responsabilité de l'infraction et a mis en place un plan de compensation pour les employés, tout en se conformant aux exigences des régulateurs.

2. TIM (Telecom Italia) - 27,8 millions d'euros (30,7 millions de dollars)

La Garante a passé beaucoup de temps à enquêter sur les télécommunications italiennes.

En 2020, la Garante a infligé une amende de 27,8 millions d'euros à TIM (anciennement Telecom Italia) pour avoir utilisé des données privées d'utilisateurs pour effectuer des appels de télémarketing.

Pourquoi ils ont été condamnés à une amende

Les enquêtes ont également permis de déterminer que TIM avait indûment exigé le consentement des clients à l'utilisation de données sensibles pour leur permettre de participer à des tirages au sort.

En outre, la Garante a affirmé que TIM traitait les données privées de manière inappropriée et ne les protégeait pas de manière appropriée. TIM ne présentait pas aux utilisateurs des politiques de confidentialité utiles et conservait les données collectées d'une manière qui ne les protégeait pas contre les violations de données.

Comment ils ont réagi

TIM a tenté de faire appel de l'amende, mais cet appel n'a pas abouti. En conséquence, l'entreprise a dû payer l'amende et remanier en profondeur ses méthodes de collecte, de traitement et de stockage des données pour se conformer au RGPD.

3. British Airways - 20 millions de livres sterling (26,4 millions de dollars)

Bien que le Royaume-Uni ait depuis quitté l'UE, en 2020, le pays était toujours tenu de respecter le RGPD. En conséquence, le bureau du commissaire à l'information du Royaume-Uni (ICO) a suivi les règles du RGPDpour infliger à British Airways une amende de 20 millions de livres sterling.

Pourquoi ils ont été condamnés à une amende

L'amende a été infligée à British Airway en raison de sa gestion d'une importante violation de données qui a exposé les informations privées de plus de 400 000 clients sur une période de trois mois.

Initialement, l'ICO avait l'intention d'infliger une amende de 183 millions de livres sterling en raison de l'impact dramatique de la violation et des revenus générés par British Airways. Cependant, l'agence a ajusté le montant final en raison de l'impact financier de la pandémie de COVID-19.

La violation initiale s'est produite en 2018 et l'enquête s'est poursuivie en 2019.

Comment ils ont réagi

British Airways a immédiatement fait appel de la décision lorsque l'ICO a publié le montant initial de l'amende. Par conséquent, l'amende finale n'a été officiellement prononcée qu'en 2020.

Malgré les efforts de British Airways, la compagnie a été condamnée à une amende considérable destinée à montrer à quel point les organismes chargés de l'application du RGPD prennent au sérieux les violations de données, quelle qu'en soit l'ampleur.

4. Marriott - 18,4 millions de livres sterling (24,3 millions de dollars)

Le RGPD s'applique également aux violations de données survenues avant son entrée en vigueur.

C'est ce qui s'est passé lorsque l'ICO britannique a infligé une amende de 18,4 millions de livres sterling à Marriott pour une violation importante qui a potentiellement affecté jusqu'à un tiers de milliard de clients.

Pourquoi ils ont été condamnés à une amende

En 2014, l'entreprise a été victime d'une violation qui a entraîné la fuite des noms des clients, des coordonnées et des détails des passeports de pas moins de 339 millions d'invités. Malheureusement, cette violation est passée inaperçue et n'a pas été traitée jusqu'en 2018, date à laquelle le RGPD est entré en vigueur, donnant au pirate un accès continu pendant quatre ans.

L'ICO avait donc initialement l'intention d'infliger une amende de 99 millions de livres sterling, afin de dissuader d'autres entreprises d'agir de la même manière.

Comment ils ont réagi

Marriott a fait appel de l'amende parce qu'il avait agi rapidement dès que le problème avait été porté à son attention.

Dans sa décision finale, l'ICO a reconnu ce fait et le fait que Marriott avait considérablement amélioré ses systèmes entre-temps, et a ramené l'amende à 18,4 millions de livres sterling seulement.

5. Wind Tre - 16,7 millions d'euros (18,4 millions de dollars)

Wind Tre s'est vu infliger une nouvelle amende au RGPD des télécommunications en Italie.

Pourquoi ils ont été condamnés à une amende

La Garante a enquêté sur Wind à la suite de plus d'une centaine de plaintes concernant la manière dont la société effectuait des appels de télémarketing, des messages textuels et même des télécopies. Les clients se sont également plaints que Wind ne leur offrait pas la possibilité de refuser la collecte de données ou d'empêcher que leurs coordonnées soient rendues publiques.

Ce comportement a conduit la Garante à infliger une amende de 16,7 millions d'euros pour les nombreuses violations du RGPD commises par l'entreprise.

Comment ils ont réagi

Wind Tre a tenté de faire appel de la décision, mais cet appel n'a pas abouti. En conséquence, l'amende infligée par la Garante a été maintenue.

En outre, l'entreprise a été contrainte de cesser de collecter certaines données et de cesser d'utiliser les informations relatives aux clients pour mener des activités de marketing sans consentement direct et avéré.

6. Vodafone Italia - 12,25 millions d'euros (13,5 millions de dollars)

Poursuivant la tendance des mesures d'application du RGPD dans le secteur des télécommunications en Italie, la Garante a également infligé à Vodafone Italia une amende de 12,25 millions d'euros pour avoir utilisé à mauvais escient les données de ses clients.

Pourquoi ils ont été condamnés à une amende

Comme d'autres entreprises de télécommunications figurant sur cette liste, la Garante a découvert que Vodafone Italia avait utilisé les données de ses clients pour des activités de marketing sans leur consentement. En conséquence, les clients de Vodafone ont déposé des centaines de plaintes contre les appels incessants de l'entreprise, qui se poursuivaient malgré les demandes d'arrêt.

Comment ils ont réagi

Vodafone a tenté de faire appel de la décision mais a été débouté.

Malheureusement, Vodafone n'a pas non plus retenu la leçon, d'autres branches de l'entreprise internationale ayant dû faire face à des dizaines d'amendes depuis 2018.

7. Google Suède - 75 millions de couronnes suédoises (7,9 millions de dollars)

Google figure une nouvelle fois sur cette liste pour des violations commises en Suède.

La DPA suédoise a enquêté sur la branche locale de Google après avoir reçu des plaintes selon lesquelles l'entreprise pourrait violer le "droit à l'oubli" du RGPD.

Pourquoi ils ont été condamnés à une amende

En vertu du RGPD, toute personne a le droit de faire déréférencer son œuvre des moteurs de recherche ou, en d'autres termes, d'être "oubliée".

La DPA suédoise a déterminé que Google permettait aux propriétaires de sites de republier des contenus qui avaient été retirés de la liste par d'autres sites et d'autres personnes, ce qui portait atteinte au droit de retrait total de la liste. Cette découverte a conduit l'agence à infliger une amende de 75 millions de couronnes suédoises, soit environ 7,9 millions de dollars.

Comment ils ont réagi

Google a fait appel de la décision, mais l'amende a été confirmée par les tribunaux suédois. Il a également été interdit à l'entreprise d'informer les propriétaires de sites des demandes de déréférencement.

8. BBVA - 5 millions d'euros (5,5 millions de dollars)

L'AEPD espagnole a infligé deux amendes à la Banco Bilbao Vizcaya Argentaria (BBVA), l'une de 2 millions d'euros et l'autre de 3 millions d'euros, pour deux violations distinctes du RGPD .

Pourquoi ils ont été condamnés à une amende

L'une des amendes était due au fait que la banque avait utilisé des informations sur les clients pour mener des activités de marketing par SMS sans avoir obtenu le consentement des clients. L'autre amende était due au fait que l'organisation n'avait pas inclus toutes les informations pertinentes dans son avis sur la protection de la vie privée.

Comment ils ont réagi

La BBVA a tenté de faire appel des deux amendes, arguant que ses actions ne constituaient pas une violation du RGPD. Cependant, les tribunaux espagnols ont confirmé la décision de l'AEPD et BBVA a été contrainte de payer les deux amendes.

9. Groupe Carrefour - 3,05 millions d'euros (3,5 millions de dollars)

La CNIL française a infligé des amendes d'un montant total de 3,05 millions d'euros à deux filiales du conglomérat de la distribution Carrefour.

Pourquoi ils ont été condamnés à une amende

La CNIL a commencé à enquêter sur le groupe Carrefour après avoir reçu des plaintes de clients selon lesquelles l'entreprise ne respectait pas les demandes d'effacement de données, leur envoyait des communications de télémarketing non sollicitées et ne leur permettait pas de se désabonner des courriels de marketing.

La CNIL a estimé que ces plaintes étaient fondées et a constaté que le groupe Carrefour avait enfreint le RGPD.

Selon la CNIL, le groupe Carrefour a violé le RGPD en ne donnant pas aux utilisateurs la possibilité de faire supprimer leurs données ou de s'opposer à l'utilisation des cookies.

Comment ils ont réagi

La tentative de l'entreprise de faire appel de ces décisions a échoué.

10. Capio St. Göran AB - 30 millions de couronnes suédoises (3,2 millions de dollars)

Le prestataire de soins suédois Capio St. Göran AB s'est vu infliger une amende de 30 millions de couronnes suédoises, soit environ 2,9 millions d'euros, pour n'avoir pas protégé les données des patients de manière adéquate.

Pourquoi ils ont été condamnés à une amende

La DPA suédoise a enquêté sur l'hôpital et a déterminé que l'organisation n'avait pas effectué d'analyse de risque concernant le stockage des données des patients, et qu'elle n'avait donc aucune idée des dangers auxquels elle était confrontée.

La DPA a également constaté que les systèmes d'information de Capio St. Göran n'étaient pas correctement configurés pour fournir l'accès minimum nécessaire. Par conséquent, des employés n'ayant pas besoin de voir certaines données sensibles pouvaient accéder à d'importantes informations privées sur les patients.

Ces deux défauts sont en violation directe avec les principes du RGPD.

Comment ils ont réagi

Bien que Capio St. Göran ait tenté un appel, celui-ci n'a pas abouti. Le prestataire de soins de santé a été contraint de payer le montant total de l'amende et de revoir l'ensemble de ses systèmes de traitement et de stockage des données afin de protéger plus efficacement les informations confidentielles des patients.

Les plus grosses amendes RGPD en 2019

Les choses ont commencé à s'accélérer au cours de la deuxième année d'existence du RGPD. 2019 a été la première année où les amendes RGPD ont franchi la barre des 10 millions d'euros.

C'est également cette année-là que les entreprises situées en dehors de l'UE ont commencé à prendre conscience de l'importance de suivre les lignes directrices du RGPD.

La plus grosse amende RGPD de l'année 2019 a d'ailleurs été prononcée à l'encontre du siège américain de Google.

Voici à quoi ont ressemblé les amendes RGPD les plus élevées de 2019 :

1. Google - 50 millions d'euros (56,8 millions de dollars)

Oui, Google figure à nouveau sur la liste.

Pourquoi ils ont été condamnés à une amende

En 2019, la CNIL a infligé à Google Ireland une amende de 50 millions d'euros pour deux manquements différents.

Tout d'abord, la CNIL a constaté que Google ne rendait pas ses divulgations facilement accessibles aux utilisateurs et que les informations contenues dans les divulgations étaient réparties entre plusieurs documents - qui comprenaient divers liens sur lesquels les utilisateurs devaient cliquer pour consulter les divulgations.

En outre, l'explication de la politique de confidentialité concernant les types de données traitées et la raison du traitement était trop vague.

Deuxièmement, comme les informations étaient réparties sur plusieurs documents, la CNIL a estimé que Google avait violé le consentement des utilisateurs à la personnalisation des annonces. La structure du document de consentement ne permettait pas aux utilisateurs de comprendre ce qu'ils acceptaient réellement.

Comment ils ont réagi

Google a fait appel de cette décision devant la plus haute juridiction administrative française, le Conseil d'État. Google a fait valoir que l'Irlande étant son principal site dans l'UE, le commissaire irlandais à la protection des données aurait dû superviser les questions relatives à la protection des données de Google.

Google a également affirmé que la CNIL n'avait pas appliqué correctement les dispositions du RGPD.

Le Conseil d'État a rejeté les arguments de Google et a confirmé la décision, finalisant ainsi l'amende la plus importante jamais infligée RGPD à l'époque.

2. Eni Gas e Luce - 11,5 millions d'euros (12,7 millions de dollars)

Pour en revenir à l'Italie, le fournisseur italien de gaz et de pétrole Eni Gas e Luce a été condamné à une amende de 11,5 millions d'euros pour utilisation inappropriée des données de ses clients.

Pourquoi ils ont été condamnés à une amende

La société stockait des informations sur les clients sans base juridique appropriée et utilisait ces informations pour effectuer des appels de télémarketing, ce qui a donné lieu à des amendes individuelles de 8,5 millions d'euros et de 3 millions d'euros.

Comment ils ont réagi

L'entreprise a tenté de faire appel, mais n'a pas obtenu gain de cause. En conséquence, Eni a également été obligée de cesser d'effectuer des appels de télémarketing ou de proposer des contrats non sollicités utilisant les données des clients.

3. 1&1 Telecom GmbH - 9,55 millions d'euros (10,55 millions de dollars)

Les télécoms italiens ne sont pas les seuls à faire face à de lourdes amendes RGPD en 2019. Le géant allemand des télécommunications 1&1 a été condamné à une amende de 9,55 millions d'euros par le Commissaire fédéral à la protection des données et à la liberté d'information (BfDI).

Pourquoi ils ont été condamnés à une amende

L'organisation a collecté beaucoup plus de données que nécessaire pour chaque client. En outre, l'enquête du BfDI a révélé que ces données étaient accessibles à un plus grand nombre d'employés de 1&1 que nécessaire.

Comment ils ont réagi

Contrairement à d'autres télécoms de cette liste, 1&1 n'a pas fait appel de l'amende. Au contraire, le fournisseur a collaboré étroitement avec le BfDI au cours de l'enquête afin de fournir des informations claires et accessibles sur ses procédures. Le BfDI n'a donc pas ressenti le besoin d'infliger l'amende la plus élevée possible.

La tenue de bons registres et une collaboration étroite avec les régulateurs peuvent aider les entreprises à réduire le montant qu'elles devront payer si elles font l'objet d'une enquête pour non-conformité au RGPD .

4. Agence nationale bulgare du revenu - 5,1 millions de lev bulgares (2,9 millions de dollars)

L'Agence nationale bulgare du revenu a été condamnée à une amende de 5,1 millions de BGN par la Commission nationale pour la protection des données personnelles.

Pourquoi ils ont été condamnés à une amende

Selon la Commission, l'Agence nationale des revenus a subi une violation de données qui a exposé les données privées de plus de cinq millions de citoyens bulgares. La Commission a estimé que l'Agence nationale du revenu n'avait pas protégé ces informations de manière adéquate et qu'elle avait donc enfreint le RGPD.

Comment ils ont réagi

L'Agence n'a pas fait appel de la décision et a payé l'amende sur son propre budget. Cette affaire est probablement la première dans laquelle un gouvernement a dû payer une amende pour avoir violé les droits de ses citoyens en matière de protection des données.

Les plus grosses amendes RGPD en 2018

Au cours de la première année d'existence du RGPD, les amendes ont été relativement rares. Ce qui ne veut pas dire qu'elles n'ont pas été émises.

Même si de nombreuses entreprises ont fait de leur mieux pour se conformer à la législation, l'UE a infligé de nombreuses amendes à des organisations qui ne respectaient manifestement pas les exigences du RGPD.

Les deux plus grosses amendes RGPD de l'année 2018 ont été les suivantes :

1. Hôpital Barreiro Montijo - 400 000 € (441 000 $)

Si les amendes n'ont pas atteint un niveau excessif en 2018, elles ont tout de même atteint un montant à six chiffres.

La première amende RGPD d'un hôpital a également été la sanction la plus élevée de l'année 2018. L'autorité portugaise de protection des données, la Comissão Nacional de Proteção de Dados (CNPD), a infligé une amende de 400 000 € à l'hôpital Barreiro Montijo, situé à la périphérie de Lisbonne.

Pourquoi ils ont été condamnés à une amende

La CNPD a infligé cette amende après avoir enquêté sur le contrôle exercé par l'hôpital sur les données relatives aux patients. Elle a constaté que Barreiro Montijo n'avait pas limité de manière appropriée l'accès aux informations stockées dans son système de gestion des patients.

Selon l'agence, 985 employés de l'hôpital avaient un accès total à des informations sensibles sur la santé des patients, alors que seuls 296 médecins disposant des autorisations médicales nécessaires travaillaient pour l'hôpital. En outre, neuf travailleurs sociaux et un profil de test disposaient également d'un accès complet et illimité aux données des patients.

Comment ils ont réagi

L'hôpital a fait appel de la décision, affirmant que la CNPD n'était pas habilitée à infliger l'amende. La décision a toutefois été confirmée.

2. Knuddels.de - 20 000 € (22 000 $)

L'autre amende RGPD importante de 2018 a été infligée à Knuddels.de, un service de chat allemand.

Pourquoi ils ont été condamnés à une amende

L'autorité de protection des données du Bade-Wurtemberg (LfDI) a infligé une amende de 20 000 euros après que le service a été victime d'une violation de données qui a permis à des cybercriminels d'accéder à des informations non cryptées sur les utilisateurs.

Le service n'a finalement pas réussi à crypter des informations essentielles telles que les noms d'utilisateur et les mots de passe. En conséquence, entre 300 000 et 1,8 million d'identifiants de connexion ont été compromis dans la brèche.

Comment ils ont réagi

La LfDI a envisagé d'infliger une amende plus élevée, mais Knuddels.de a pris rapidement des mesures pour remédier à l'infraction.

En conséquence, la LfDI s'est montrée relativement clémente et n'a exigé qu'une amende de 20 000 euros. C'est pourquoi Knuddels.de n'a pas fait appel de la décision.

Augmentation des amendes et des sommes d'argent RGPD une année sur l'autre

En utilisant les données du RGPD Enforcement Tracker, j'ai analysé le taux d'augmentation annuel du nombre total d'amendes RGPD de 2020 à 2024, qui se présente comme suit :

• 2020 et 2021 : 35,09 %.
• 2021 et 2022 : 16,01%.
• De 2022 à 2023 : -4,67%.
• 2023 à 2024 : -64,30%

J'ai également calculé l'augmentation annuelle de la somme des amendes entre 2020 et 2024, ce qui a donné les résultats suivants :

• 2020 et 2021 : 493,91 %.
• 2021 et 2022 : -17,03%.
• 2022 à 2023 : 88,18%.
• 2023 à 2024 : -69,73%.

D'après ces données, il semble que les entreprises maîtrisent la conformité au RGPD .

Bien qu'il y ait eu une augmentation apparente du nombre d'amendes RGPD entre 2020 et 2022, cela est logique, car le règlement était encore très récent.

La diminution des amendes entre 2022 et 2024 est un signe positif, indiquant qu'il est plus facile pour les entreprises de RGPD.

Il est intéressant de noter une forte augmentation des amendes entre 2022 et 2023, mais cela est probablement dû à l'amende historique de 1,2 milliard d'euros (1,3 milliard de dollars) que Meta a reçue cette année-là, ce qui représente la plus grosse amende RGPD à ce jour.

La conformité au RGPD est essentielle

De nombreuses statistiques sur la confidentialité des données montrent que les consommateurs exigent de plus en plus de transparence ; il est donc plus important que jamais de se conformer aux lois sur la confidentialité des données. Toute entreprise disposant d'un site web destiné aux citoyens de l'UE doit se conformer au RGPD , sous peine de se voir infliger des amendes considérables.

Des organisations aussi diverses que des agences gouvernementales, des hôpitaux et de grandes entreprises ont toutes vu leurs violations identifiées et pénalisées à hauteur de milliers, de millions ou de dizaines de millions d'euros.

C'est pourquoi votre organisation doit se conformer au RGPD. Vous pouvez commencer à vous y conformer dès aujourd'hui en prenant contact avec Termly.

Que vous ayez besoin d'une politique de confidentialité, d'un gestionnaire consentement aux cookies ou d'une solution de conformité complète, Termly peut vous aider.

En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur