Un an DSGVO - les cinq plus grands délits et les peines les plus lourdes
Le 25 mai 2018, le règlement général de l'UE sur la protection des données (RPGD UE), la loi sur la protection des données la plus complète au monde à ce jour, est entré en vigueur. Un an plus tard, Micro Focus révèle certains des aspects du PIBR. Selon Micro Focus, de nombreuses infractions au GDPR ont été identifiées à ce jour - en Allemagne, par exemple, 81 cas ont été enregistrés avec des amendes totalisant 485 490 euros.
Le GDPR a également laissé sa marque dans toute l'Europe. Beaucoup de ces violations sont plutôt mineures, mais il y a eu quelques faux pas notables de la part d'entreprises qui se sont vu infliger des amendes élevées. Micro Focus a compilé les cinq cas les plus intéressants ci-dessous :
1) 50 millions d'euros - le géant de l'Internet Google prend le collier
Janvier 2019
L'autorité française de protection des données, la CNIL, a infligé à Google sa première amende GDPR, ce qui en fait la plus grosse amende de l'histoire de la protection des données européennes à ce jour : 50 millions d'euros. L'autorité accuse Google de deux violations du GDPR européen. Les informations essentielles sur la protection des données étaient réparties sur plusieurs documents et ne pouvaient donc pas être trouvées du tout ou seulement avec difficulté par des profanes. Cela viole le principe de transparence. En outre, les informations fournies par Google, même si elles étaient trouvées dans leur intégralité, sont trop imprécises pour fournir à l'utilisateur une information réelle sur les objectifs de la collecte de données. En outre, les fonctions de réglage de la publicité personnalisée sont illégales. La plainte a été déposée par l'organisation Noyb et par l'organisation française La Quadrature du Net déposée. Outre l'action en cours contre Google, Noyb a également déposé récemment des plaintes similaires contre d'importants services de streaming tels que Netflix, Apple Music, Amazon Prime et Spotify. Les sanctions pourraient théoriquement être même supérieures à 50 millions d'euros, puisque jusqu'à deux pour cent du chiffre d'affaires annuel réalisé dans le monde est possible en tant que sanction.
2.) Pas une bonne affaire - Près d'un million de zlotys d'amende pour un commerçant de données impénitent
Avril 2019
L'autorité polonaise de protection des données UODO a imposé une amende de 943 000 zlotys, soit environ 220 000 euros, à la société anonyme Bisnode AB. L'entreprise sanctionnée est un fournisseur d'informations commerciales numériques qui avait recueilli des données personnelles afin de les rassembler dans sa propre base de données et de les utiliser à des fins commerciales. L'entreprise obtient ses ensembles de données de sources publiques. L'amende a été imposée parce que l'entreprise n'avait pas respecté ses obligations d'information. Au total, près de six millions
celles des enregistrements de données concernés. Selon l'article 14 du GDPR, l'entreprise aurait dû informer les personnes concernées de l'utilisation des données - dans les six millions de cas. Il s'est avéré que les parties responsables ont agi délibérément et sciemment en omettant d'informer les personnes concernées de l'utilisation de leurs données personnelles. Cette circonstance, ainsi que le manque de discernement de la part de l'entreprise, ont eu une influence directe sur le montant de l'amende infligée.
3.) Des données sensibles sur les patients dans les mains de faux médecins ?
Octobre 2018
En octobre 2018, l'autorité portugaise de protection des données CNPD a imposé la première amende significative en Europe pour une violation de la GDPR. Ainsi, l'hôpital Barreiro Montijo, près de Lisbonne, a dû payer un total de 400 000 euros. Les autorités de protection des données ont notamment invoqué le fait que trop de personnes ont eu un accès non autorisé aux données confidentielles des patients. L'opérateur de l'hôpital avait ainsi "sciemment" et de plein gré accordé aux techniciens informatiques internes l'accès à des données qui ne devraient être accessibles qu'aux médecins. En outre, un total de 985 utilisateurs actifs ont été enregistrés comme "médecins" dans le système, même si seulement 296 médecins travaillaient à l'hôpital en 2018. L'hôpital a justifié cela en disant que des profils temporaires étaient créés dans le cadre d'un contrat de service, ce qui expliquerait les chiffres divergents.
4.) La première sanction de GDPR en Allemagne
Novembre 2018
L'Allemagne a imposé sa première amende pour une infraction à la GDPR en novembre 2018, le site de rencontres et de socialisation Knuddels.de ayant signalé une violation des données de 1,87 million de combinaisons de noms d'utilisateur et de mots de passe et de 800 000 adresses électroniques d'utilisateurs en septembre. L'autorité de protection des données de l'État allemand du Bade-Wurtemberg a estimé que le site web avait stocké les mots de passe en clair, ce qui était contraire à la directive du DSGVO sur la "pseudonymisation et le cryptage des données à caractère personnel". Cependant, en raison de la rapidité avec laquelle elle a signalé la violation, l'autorité a fait preuve d'une grande indulgence à l'égard de Knuddels. En outre, le site web a réagi rapidement et a informé les utilisateurs concernés par retour du courrier. L'amende de 20 000 euros était donc relativement faible.
5.) Cela ne coûte rien de demander ? Cela ne s'applique pas au PIBR !
Décembre 2018
En mai 2018, la petite entreprise de vente par correspondance Kolibri Image a demandé conseil au commissaire à la protection des données de la Hesse. La société avait demandé à plusieurs reprises à l'un de ses prestataires de services un contrat de traitement des commandes, mais ne l'avait pas reçu. Kolibri Image voulait savoir comment procéder auprès de l'autorité de protection des données de la Hesse. Ce dernier a répondu que les deux parties étaient tenues de conclure un tel contrat. Le prestataire de services, mais aussi le client, sont ici responsables des questions de protection des données. L'entreprise est tenue d'établir elle-même un contrat correspondant et de l'envoyer au prestataire de services pour signature. Les modèles correspondants se trouvent sur le site de l'administration. Le 17 décembre 2018, le commissaire d'État a imposé une amende de 5 000 euros plus 250 euros de frais. Il a justifié la décision en faveur de Kolibri Image en invoquant une violation de l'article 83 (4) du GDPR. Le principe "poser des questions ne coûte rien" ne s'applique pas ici.
Conclusion
Dans la phase initiale du PIBR, il y a eu une période de grâce claire. C'est maintenant visiblement terminé. Le nombre d'avertissements augmente et les autorités de protection des données imposent des sanctions plus sévères. Comme auparavant, le plus grand problème du PIBR est que le règlement ne fait pas de distinction entre le club sportif local et une grande entreprise. La mise en œuvre implique des efforts considérables et n'est souvent pas facile à gérer pour les petites entreprises. Des sanctions élevées ont un effet dissuasif sur des entreprises telles que Facebook ou Google, qui génèrent un chiffre d'affaires élevé, mais ne leur nuisent que de manière marginale compte tenu de leurs réserves de capital. La situation est souvent différente pour les petites et moyennes entreprises et les associations. Dans l'ensemble, on peut affirmer qu'en raison de l'augmentation des sanctions la sensibilisation à la protection des données a considérablement augmenté de tous côtés. Néanmoins, il y a certainement encore des progrès à faire en ce qui concerne la protection de nos données, surtout de la part des grandes entreprises qui jonglent avec de grandes quantités de données personnelles.
