Que s'est-il passé depuis l'introduction du RGPD ?

Publié: 2019-03-21

Le 25 mai 2018, près de dix mois, la protection des données générales du règlement européen est entré en vigueur. Après l'énorme battage médiatique provoqué par l'introduction, vous pourriez vous demander si le nouveau règlement a eu un effet du tout. En fait, beaucoup de choses se sont passées, des amendes et des avertissements ont été imposés et de nombreuses poursuites ont été déposées.

Pour vous donner un aperçu des cas où les problèmes de protection des données sont violés, nous avons collecté des amendes, des mises en garde et des poursuites en cours basées sur le RGPD.

Amendes imposées sur la base du RGPD

Cas 1 : Vol de données utilisateur – Allemagne

La plate-forme de discussion « Knuddels » a été piratée et des mots de passe, des pseudonymes et des adresses e-mail ont été volés car ces informations étaient stockées non cryptées. Le stockage non crypté des données est une protection insuffisante des données personnelles. Cela viole le principe de confidentialité par défaut et de confidentialité dès la conception requis par le RGPD.

L'amende infligée dans cette affaire s'élève à 20 000 euros.
Source : Vol de données utilisateur – Allemagne (allemand)

Cas 2 : Publication de données de santé – Allemagne

Probablement à cause d'une erreur involontaire, les données personnelles de santé sont devenues accessibles en ligne. (Aucun autre détail n'a été divulgué sur cette affaire.) Dans cette affaire également, le principe de la vie privée par défaut et de la vie privée dès la conception a été violé parce que des mesures de protection inadéquates ont été prises.

L'amende s'élève ici à 80 000 euros.
Source : Publication des données de santé – allemand ( allemand )

Cas 3 : approbation d'utilisateur manquante/erronée par Google – France

L'amende la plus élevée à ce jour a été infligée à Google. Cette action en justice a été déposée le jour de l'entrée en vigueur du RGPD. Dans cette affaire, l'amende était fondée sur la violation de l' obligation d'information et de transparence et sur l'absence de base légale pour utiliser la publicité personnalisée.

Dans ce cas, l'amende infligée s'élève à 50 000 000 euros.
Quelle : Manque d'approbation des utilisateurs de Google
Communication Officielle de la CNIL

Au total, 41 amendes d'un montant allant de 15 000 à 100 000 euros ont été infligées en Allemagne depuis l'entrée en vigueur du RGPD. Les amendes étaient justifiées par plusieurs facteurs :

  • des mesures techniques et organisationnelles inadéquates ont été prises par un hôtel qui ne pouvait exclure la possibilité que des données de carte de crédit ou d'autres données client de son système de réservation aient été divulguées en cas d'attaque de pirate informatique exorbitante,
  • la publication de données de santé sur Internet en raison de mécanismes de contrôle interne inadéquats,
  • erreur humaine : divulgation de données de santé au mauvais patient par un hôpital,
  • enregistrement de tous les appels sortants et entrants vers une brigade de pompiers de l'Etat de Brême,
  • divulgation des extraits de compte à des personnes non autorisées utilisant la banque en ligne,
  • e-mails publicitaires inacceptables ,
  • copie non autorisée des données client lors d'une attaque de pirate informatique sur une boutique en ligne,
  • utilisation non autorisée de la Dashcam ,
  • une liste de diffusion ouverte par e-mail ,
  • surveillance vidéo non autorisée des clients et des employés.

En Europe, un total de 91 amendes ont été infligées depuis l'entrée en vigueur du RGPD.

Mises en garde et jugements depuis l'entrée en vigueur du RGPD

Cas 1 : Site Web sans cryptage

Le tribunal de district de Würzburg a interdit à un avocat d'utiliser son site Web sans cryptage et sans déclaration de protection des données suffisante sous peine d'une amende de 250 000 euros.
Source : Site Web sans cryptage (allemand)

Cas 2 : Utilisation de l'audience personnalisée de Facebook

L'Office d'État bavarois pour la protection des données a interdit à une boutique en ligne d'utiliser le « Facebook Custom Audience ». Le verdict a été confirmé par le « Verwaltungsgericht » et le « Verwaltungsgerichtshof ». La raison invoquée ici était l'utilisation de données personnelles sans le consentement des visiteurs.

Source : Utilisation de l'audience personnalisée de Facebook (allemand)

Poursuites en cours en raison du RGPD

  • Instagram (Belgique) : Raison : Information insuffisante et consentement forcé, manquant ou insuffisant.
  • WhatsApp (Hambourg) : Raison : Informations insuffisantes et consentement forcé, manquant ou insuffisant.
  • Facebook (Autriche) : Raison : Informations insuffisantes et consentement forcé, manquant ou insuffisant.
  • Autriche : la banque autrichienne facture 30 EUR pour récupérer les données personnelles stockées d'un client pour ce client. Le tribunal a statué en faveur du demandeur, après quoi la banque a fait appel de la décision devant une juridiction supérieure, le Tribunal administratif fédéral. La raison de la décision du tribunal ici était le refus d'accorder le droit à la libre divulgation des données personnelles stockées.
  • Cour de justice européenne : action contre l'utilisation du bouclier de protection des données US-UE (par exemple Facebook), car les transferts vers les États-Unis peuvent être interceptés par la NSA conformément à la loi américaine.
  • Royaume-Uni et Irlande : Google et l'IAB ont été poursuivis pour enchères en temps réel (RTB) dans des publicités. Selon le plaignant, les systèmes RTB partagent chaque jour des centaines de milliards de points de données personnelles avec d'autres systèmes sans le consentement de l'utilisateur. Même des données sensibles telles que « abus, inceste ou statut VIH » sont partagées. Selon le plaignant, IAB savait à l'avance que son système n'était pas conforme au RGPD. Google, d'autre part, tente de transmettre l'obligation aux sites Web qui affichent les publicités d'obtenir le consentement de l'utilisateur.

Sources:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

Depuis l'entrée en vigueur du RGPD, plus de 59 000 fuites de données ont été signalées aux autorités européennes de protection des données. Les pays avec le plus grand nombre de fuites de données signalées sont les Pays-Bas avec 15 400 fuites de données, l'Allemagne avec 12 600 et la Grande-Bretagne avec 10 600. Chypre avec 35 rapports, l'Islande avec 25 et le Liechtenstein avec 15 sont les pays avec le moins de fuites de données.

L'Office d'État bavarois pour la surveillance de la protection des données (BayLDA) a vérifié 40 sites Web d'entreprises à haut niveau pour vérifier s'ils sont conformes au RGPD en ce qui concerne le consentement et la documentation de l'utilisateur . Aucun des 40 sites Web de l'entreprise n'a correctement mis en œuvre un processus d'obtention du consentement de l'utilisateur et des informations correctes de l'utilisateur. Ici aussi, il y a une menace de poursuites et d'avertissements.

Comme vous pouvez le voir, beaucoup de choses se sont passées dans le domaine de la protection des données au cours des dix derniers mois. Le nouveau règlement sur la protection des données fournit une base juridique importante aux utilisateurs pour protéger leurs données personnelles. Les entreprises sont donc priées et bien avisées de se conformer aux nouvelles exigences en matière de protection des données .

Veuillez garder à l'esprit que le RGPD et les nouvelles exigences s'appliquent également aux entreprises suisses fournissant leurs services et produits aux citoyens de l'UE.