Cela fait trois ans que la loi européenne sur la confidentialité et la sécurité des données a été introduite le 25 mai 2018.
Le RGPD régit la manière dont les organisations qui opèrent au sein de l’UE peuvent utiliser, traiter et stocker les données personnelles des consommateurs.
Au début, les petites entreprises et les start-ups craignaient de ne pas disposer de ressources suffisantes pour se conformer pleinement à ses règles.
D’autres critiques ont suggéré que la législation reposait trop sur la connaissance et la compréhension de leurs droits par les consommateurs.
Depuis son lancement, des centaines de millions d’euros d’amendes ont été infligées par des commissaires à l’information dans toute l’Europe.
Parmi les infractions, citons les détaillants qui dénaturent la façon dont ils utilisent les caméras de vidéosurveillance pour surveiller les employés et les entreprises qui ne respectent pas la loi sur le «droit à l’oubli».
La législation a remplacé les anciennes lois sur la protection des données et, bien qu’elle ait été rédigée en Europe, les régulateurs peuvent infliger des amendes aux organisations partout dans le monde qui ciblent ou collectent des données dans l’UE.
Il existe deux niveaux de sanctions, avec un maximum de 20 millions d’euros (17,29 millions de livres sterling) ou 4% du chiffre d’affaires mondial.
L’argent collecté sert à financer les services publics. Voici les plus grosses amendes enregistrées à ce jour:
1. Google (50 M € / 43,2 M £)
Elle a été condamnée à une amende après qu’un régulateur français a jugé que l’entreprise n’avait pas rendu ses déclarations de traitement des données des consommateurs facilement accessibles à ses utilisateurs.
Le géant de la technologie a également été reconnu coupable de ne pas avoir sollicité le consentement de ses utilisateurs pour exploiter leurs données pour des campagnes publicitaires ciblées.
Google a fait appel, mais la juridiction supérieure française a confirmé l’amende en juin de l’année dernière.
2. H&M (35,3 M € / 32,1 M £)
Si les travailleurs prenaient des vacances ou un congé de maladie, ils étaient tenus d’assister à une réunion avec les cadres supérieurs du géant de la vente au détail à leur retour.
Ces réunions ont été enregistrées et rendues accessibles aux responsables H&M à l’insu du personnel.
Les données recueillies lors des entretiens ont été utilisées pour dresser un «profil détaillé» des travailleurs, qui a ensuite influencé les décisions concernant leur emploi.
3.Équipe – Telecom Italia (27,8 M € / 24 M £)
Début 2020, les autorités italiennes de protection des données ont infligé une amende colossale de 27,8 millions d’euros à la société de télécommunications Tim, anciennement connue sous le nom de Telecom Italia.
Il a déclaré que les clients recevaient des appels importuns sans avoir donné leur consentement – même s’ils avaient enregistré leurs numéros de téléphone sur la liste italienne “Ne pas appeler” ou avaient explicitement dit aux appelants qu’ils révoquaient leur consentement pour de tels appels. Une personne aurait été appelée 155 fois en un seul mois.
Les violations étaient nombreuses et graves, a constaté le régulateur, en émettant une amende importante et 20 «mesures correctives» pour l’entreprise.
4. British Airways (20 millions de livres sterling)
Grâce à la violation de données, les pirates ont pu récolter les données personnelles d’environ 400 000 personnes.
Les données divulguées comprenaient des informations de connexion et de réservation de voyage, des noms, des adresses et des informations de carte de crédit.
droit d’auteur d’imageGetty ImagesMais plus d’un an plus tard, il a considérablement réduit l’amende, affirmant que «l’impact économique de Covid-19» avait été pris en compte.
Il s’agissait toujours de l’amende la plus élevée émise par l’ICO, qui a conclu que le piratage était le résultat de la négligence de British Airways.
BA a déclaré qu’elle avait informé les clients dès qu’elle avait pris conscience du problème, avait pleinement coopéré à l’enquête et qu’elle avait “apporté des améliorations considérables à la sécurité de nos systèmes depuis l’attaque”.
5. Hôtels Marriott International (18,4 millions de livres sterling)
Le piratage a révélé les détails personnels d’environ 300 millions de clients, y compris les informations de carte de crédit, les numéros de passeport et les dates de naissance. Sept millions de ces enregistrements d’invités concernaient des personnes au Royaume-Uni.
Semblable à l’amende de British Airways, l’ICO a initialement déclaré qu’il prévoyait d’émettre une amende beaucoup plus élevée de 99 millions de livres sterling – mais a abaissé le montant plus tard.
Où va l’argent du RGPD?
Au Royaume-Uni, toutes les pénalités émises par l’ICO sont versées dans un fonds du gouvernement central qui appartient au Trésor.
Le Fonds consolidé est le compte bancaire général du gouvernement à la Banque d’Angleterre.
Il a été établi en 1787 dans le but d’être “un fonds dans lequel coulera chaque flux de revenus publics et d’où proviendra la fourniture de chaque service”.
Cela signifie que, tout comme les recettes fiscales, les amendes du RGPD sont utilisées pour financer les services publics.
La majorité des autres pays de l’UE utilisent une structure similaire.
Rob Elliss, de la société de technologie Thales, a déclaré que malgré le succès jusqu’à présent dans l’octroi d’amendes substantielles, le RGPD sera confronté à plus de défis dans un monde post-Covid.
“Lorsque le RGPD a été rédigé pour la première fois, la législation ne tenait pas nécessairement compte de l’adoption de nouvelles technologies et de la migration rapide vers le cloud provoquée par la pandémie”, a-t-il déclaré.
“Dans cette ère de travail à distance, les entreprises devaient se transformer numériquement presque du jour au lendemain juste pour garder les lumières allumées, sans nécessairement intégrer la sécurité dans la conception de nouveaux systèmes et processus.”
Correction du 25 mai 2021: une version antérieure de cet article contenait des inexactitudes, notamment des informations obsolètes sur les amendes infligées à British Airways et Marriott International Hotels et en classant Amazon parmi les cinq principales sociétés condamnées à une amende. Cependant, Amazon n’a pas été condamné à une amende dans le cadre du RGPD, mais en vertu de la directive française distincte sur la confidentialité en ligne.Nous avons donc mis à jour ces chiffres et remplacé Amazon dans la liste par Tim.
