Ah, le RGPD… Ces quatre lettres qui arrivent à faire siffler les oreilles des dirigeants d’entreprise ou à leur faire dire « le RG-quoi ? ». Si vous êtes concerné par cette deuxième réaction, je vous conseille vivement de sortir de votre grotte et de rattraper votre retard sur l’évolution de la civilisation avec nos précédents articles.
Nombreuses sont les entreprises qui se croient épargnées par le Règlement Général sur la Protection des Données, généralement par manque de connaissance sur le sujet (mais on vous pardonne). En guise de rappel général, je vous l’indique d’ores et déjà : TOUS les organismes publics ou privés sont soumis au RGPD. Pour échapper aux dispositions du Règlement, vous devez vraiment faire partie d’une catégorie de niche : vous travaillez seul, sans donnée client, sans salarié, sans site internet… sans rien, quoi.
Si après mes propos vous n’êtes toujours pas convaincu que vous êtes soumis au RGPD, je vous conseille de faire sérieusement ce questionnaire qui indiquera si le règlement s’applique pour vous et si vous y êtes conforme. Essayez toujours, ça ne vous coûte rien.
Depuis l’application du RGPD, les autorités de contrôle ont infligé un paquet d’amendes RGPD. Et contrairement à une croyance populaire : non, les GAFA ne sont pas les seuls à se faire contrôler et se faire sanctionner. Pour vous le prouver, je vais vous lister les plus grosses amendes RGPD infligées jusqu’à cette belle journée d’automne (20 novembre 2019), et vous verrez que tous les organismes y passent ! Pour la peine, vous allez même apprendre quelques mots de vocabulaire avec le nom « en VO » des autorités de contrôle.
Après avoir lu cet article, vous n’aurez plus d’excuses pour ne pas vous conformer au RGPD !
Top départ !
10. C’est l’hôpital qui se moque de la donnée !
Le 16 juillet 2019, l’autorité de contrôle néerlandaise (l’Autoriteit Persoonsgegevens pour les puristes) a sanctionné l’hôpital Haga avec une amende administrative de 460 000 €. Pour mériter cette sanction, l’hôpital n’avait pas installé de mesures techniques et organisationnelles sérieuses, de telle sorte que les données médicales des patients étaient librement accessible à tout le personnel de l’hôpital.
Pour rendre cette anecdote plus croustillante, l’autorité de contrôle a inscrit dans son communiqué que des médecins et infirmiers de l’hôpital avaient profité de ce manque de sécurité pour accéder au dossier médical de célébrités néerlandaises.
Pour les fans de La Fontaine, retenez deux morales à cette histoire :
- les organismes publics ne sont pas épargnés par le RGPD, d’autant plus lorsqu’ils détiennent des données sensibles ;
- oui, l’autorité de contrôle travaille l’été.
9. Le pounchki, vous connaissez ?
Si je vous dis « Urząd Ochrony Danych Osobowych », vous devinez de quelle autorité de contrôle il s’agit ? Bravo, c’est la Pologne (on va faire comme si vous connaissiez la réponse) !
Mais pourquoi l’autorité est intervenue ? Dans les faits, un beau matin de septembre 2019, l’autorité de contrôle polonaise a fièrement indiqué avoir condamné le site Morele.net à une amende de 2,8 millions de zlotys. Deux questions devraient immédiatement vous venir en tête :
- Qu’est-ce Morele.net ?
- Qu’est-ce qu’un zloty ?
Morele.net est un site d’e-commerce assez populaire en Pologne, qui a cru pouvoir faire l’impasse sur le RGPD. Suite à une cyberattaque, des hackers ont intercepté les données de 2,2 millions de personnes ! Naturellement, les malfaiteurs ont tenté de faire fortune en exploitant les données fraîchement dérobées. Pour cela, ils ont envoyé des SMS à tous les numéros de téléphone en leur possession pour lancer une campagne de phishing. Malheureusement, certaines personnes sont tombées dans le panneau et l’autorité de contrôle polonaise a donc été avertie de cette mésaventure. Par conséquent, cette dernière a condamné le site marchand Morele à la somme de 2,8 millions de zlotys.
Et alors, qu’est-ce qu’un zloty ? C’est juste la devise monétaire officielle en Pologne. Convertie en euros, l’amende atteint la somme de 640 000 €. Ce n’est pas aussi impressionnant qu’en zloty, mais c’est tout de même assez conséquent pour obliger le marchand à se mettre en conformité avec le RGPD.
8. Notre premier GAFA !
Vous avez sûrement tous entendus parler de l’affaire Cambridge Analytica, qui a profondément impacté l’image de Facebook à l’échelle mondiale. Pour rappel, en mars 2018, les médias ont révélé que les données personnelles de 50 millions d’utilisateurs de Facebook ont fini entre les mains de l’entreprise Cambridge Analytica, et ce, afin d’influencer les élections présidentielles américaines de 2016.
Outre le scandale médiatique et la face mémorable de Mark Zuckerberg lors de son audition devant le Congrès, les autorités de contrôle européennes ont également décidé de passer Facebook sur le grill.
À ce titre, l’ICO, autorité de contrôle britannique, a infligé une amende de 500 000 £ à Facebook pour avoir failli à son obligation de sécurisation des données de ses utilisateurs. En euros, cela correspond à la somme de 575 000 €.
Pour un GAFA comme Facebook, cette amende semble être une bagatelle, bien loin des 4 % du chiffre d’affaires annuel mondial prévus par le RGPD. La raison de cette amende « basse » est simple : les faits ont été commis avant l’entrée en vigueur du règlement, donc impossible pour l’ICO de condamner Facebook sur ce fondement. Néanmoins, puisque l’affaire a éclaté pendant l’entrée en vigueur du RGPD, l’autorité de contrôle britannique a tenu à montrer l’exemple en condamnant tout de même Facebook.
La double condamnation de Facebook
Mais ce n’est pas tout. Quelques mois après la prononciation de l’amende par l’autorité de contrôle britannique, rebelote pour Facebook ! Le « Garante per la protezione dei dati personali », autorité de contrôle italienne, décide également de condamner Facebook à une amende d’un million d’euros. Parmi les données transmises à Cambridge Analytica, des données personnelles d’utilisateurs italiens y figuraient. Heureusement que les faits sont antérieurs au RGPD, sinon il y aurait fort à parier que la facture aurait été beaucoup plus salée pour Facebook sous l’empire du nouveau règlement.
7. Il y a de l’électricité dans l’air…
Toujours en Italie, l’autorité de contrôle a encore décidé de frapper fort en sanctionnant la société VinCall. Dans les faits, le fournisseur d’électricité Edison Energia a fait appel aux services de la société VinCall pour effectuer du démarchage téléphonique et engranger de nouveaux clients.
Le problème est qu’Edison Energia transmettait toutes les données de ses clients à VinCall pour finaliser les souscriptions… et évidement, aucune clause de sous-traitance n’a été conclue entre les deux sociétés, contrairement à ce qu’impose l’article 28 du RGPD.
Par conséquent, l’autorité de contrôle italienne a condamné la société VinCall à une amende de 2 018 000 €. Ceci démontre bien l’importance d’imposer des clauses de sous-traitance en cas de transfert de données personnelles vers une personne tierce.
6. Plus personne n’est à l’abri : même les impôts doivent payer
Fin août 2019, la Commission de Protection des Données Personnelles, autorité de contrôle bulgare, prononce sa plus grosse amende au titre du RGPD. L’identité du contrevenant est assez étonnante : l’Agence du Revenu National (ARN) bulgare, soit l’équivalent du centre des impôts en France.
La raison de la condamnation est simple : le site internet de l’ARN comportait une énorme faille de sécurité permettant à quiconque d’accéder aux déclarations de revenus de toute la population bulgare. Forcément, la réaction de l’autorité de contrôle bulgare ne s’est pas fait attendre : 5,1 millions leva d’amende (soit 2,61 millions d’euros) !
Comme quoi, si les impôts ne sont pas épargnés par le RGPD, personne ne l’est…
5. Vous cherchez à acquérir un bien immobilier ?
Vous cherchez une perle rare dans le centre de Berlin ? On connaît justement une adresse à éviter…
Début novembre 2019, une société immobilière allemande s’est fait épinglée par l’autorité de contrôle allemande. Apparemment, la société aurait sauvegardé des données personnelles sur des supports de stockage sans vérifier leur licéité ou la nécessité du stockage. De plus, impossible de supprimer les données contenues sur le support de stockage… Pratique quand on sait que le RGPD impose une obligation de suppression, d’anonymisation ou de pseudonymisation des données lorsque vous n’en avez plus besoin.
Bref, montant total de l’amende : 14,5 millions d’euros. De quoi obliger la société à prendre le RGPD au sérieux.
4. Comme une lettre à la poste !
Quelques jours avant l’Allemagne, l’Autriche a également décidé d’entrer dans la cour des grands en prononçant une amende de 18 millions d’euros à l’encontre de la poste autrichienne.
Les faits derrière cette condamnation sont moralement discutables et auraient eu un grand impact international s’ils avaient concerné un GAFA. Plus tôt dans l’année, les médias autrichiens ont révélé au grand jour une actualité effroyable : la poste autrichienne aurait collecté les données d’habitants, comprenant leur adresse et leurs opinions politiques, pour ensuite les revendre à des sociétés tierces. Au total, les services de poste auraient créé le profil de plus de 3 millions d’autrichiens… alors que le pays ne compte que 8,8 millions d’habitants !
L’autorité de contrôle a donc diligenté une enquête sur cette affaire, et elle en a également profité pour contrôler la mise en conformité avec le RGPD. Ainsi, l’autorité s’est aperçue que la poste autrichienne avait effectivement créé le profil de millions d’habitants pour le revendre à des tiers, et qu’en plus, elle collectait des données visant à connaître le nombre de livraison effectué pour chaque personne et le taux de relivraison… toujours afin de revendre ces informations.
Cette condamnation amène vraiment à réfléchir : l’autorité de contrôle a-t-elle envoyé l’amende à la poste par la poste ?
3. Tiens, on tient un autre GAFA !
Il s’agit d’une amende qui a beaucoup fait parler d’elle puisque l’autorité de contrôle française (la CNIL) s’est attaquée à un gros poisson : Google.
Au total, le géant du web a écopé d’une amende de 50 millions d’euros. En clair, la CNIL a voulu envoyer un message fort pour montrer que personne n’a de passe-droit pour le RGPD.
Cette sanction est due à la déposition de plusieurs plaintes d’utilisateurs. La Commission a donc mené son enquête et a constaté que Google ne respectait pas les obligations de transparence et d’information concernant sur les droits des clients sur leurs données personnelles. De plus, Google aurait utilisé des données personnelles à des fins publicitaires sans demander préalablement le consentement de l’utilisateur. Bref, ce n’est doublement pas bien.
Bien évidemment, Google ne compte pas se laisser faire et a fait appel de l’amende auprès du Conseil d’État afin d’obtenir un « rabais ».
2. C’est maintenant que la note commence à être salée
En septembre 2018, soit quatre mois après l’entrée en vigueur du RGPD, le groupe hôtelier Marriott a subi une grande cyberattaque. Les informations de plus de 500 millions de clients dans le monde ont été dérobées, y compris des données bancaires et des papiers d’identité. Même si les données étaient apparemment chiffrées, personne ne peut garantir que les hackers n’ont pas pu décrypter toutes les informations volées.
Par conséquent, l’autorité de contrôle anglaise a mené l’enquête et a considéré que l’attaque résulte d’une négligence du groupe hôtelier. Pour cela, Marriott International risque une amende de 110 millions d’euros ! C’est le montant colossal que propose l’autorité pour sanctionner lourdement l’entreprise. Cependant, comme l’enquête a été menée par l’ICO en collaboration avec d’autres États membres de l’Union européenne, il faut obtenir l’autorisation de toutes les autorités de contrôle impliquées pour infliger un tel montant. Il ne reste plus qu’à attendre…
1. Et l’heureux gagnant est…
Félicitations à British Airways pour avoir fini au sommet de ce palmarès ! Grâce à leur négligence acharnée avec les données personnelles de leurs clients, la compagnie aérienne s’est vue attribuer l’amende colossale de 200 millions d’euros par l’autorité de contrôle britannique.
Selon l’ICO, la compagnie a été victime d’une cyberattaque ayant abouti au vol de données bancaires de plus de 500 000 clients.
Cette sanction a été prononcée la même semaine que celle du groupe hôtelier Marriott. L’ICO a bien dû se frotter les mains cette semaine-là…
Un mot pour la fin ?
Nous tenons à remercier toutes les entreprises participantes pour avoir autant négligé le RGPD. Sans elles, nous n’aurions pas pu faire ce classement, donc merci d’avoir rendu tout ceci possible !
Et également un grand merci à tous ceux qui ont participé à cette compétition et qui n’ont pas atteint le palmarès. Ainsi, une pensée émue à la Ligue espagnole de football qui a tenté d’enregistrer les utilisateurs de son application grâce au micro du téléphone. Enfin, saluons la performance d’une agence de location de voiture tchèque pour avoir installé des trackers dans tous les véhicules loués par ses clients. Même si vous ne faites pas partie du classement, vos efforts ont été remarqués !
Mais trêve de plaisanteries. Comme vous vous en êtes rendus compte, le RGPD n’est pas un banal règlement à prendre à la légère. Cela demande un travail exigeant de mise en conformité. Si vous ne le faites pas, la condamnation peut faire mal : jusqu’à 4 % de votre chiffre d’affaires annuel mondial ou 20 millions d’euros. Comme l’a déjà prouvé la CNIL avec Google, elle n’hésite pas à infliger des amendes à coups de millions.
Ainsi, si vous ne voulez pas faire partie de notre prochain top 10, vous savez quoi faire : vous mettre en conformité ! Si vous ne savez pas par où commencer, vous pouvez toujours nous contacter. Les experts juridiques et techniques de Ziwit Consultancy vous guideront pas à pas jusqu’à ce que vous respectiez totalement le RGPD.