Les amendes GDPR commencent à pleuvoir sur l’Europe

Au cours de la première année d’application du GDPR, seule une poignée d’amendes majeures ont été infligées. Deux imposantes amendes ont été distribuées cette semaine au Royaume-Uni.

La menace de lourdes amendes a obligé les entreprises à prendre au sérieux les réglementations GDPR il y a deux ans, alors même qu’elles ne savaient pas si ces amendes seraient réelles. Maintenant, ces amendes sont bien réelles.

Lundi, l’agence britannique de protection de la vie privée a annoncé qu’elle infligeait une amende de 230 millions de dollars à British Airways en réponse à une violation des données des clients en septembre 2018. Mardi, le Bureau du commissaire à l’information (ICO), a annoncé une amende de 123 millions de dollars à l’encontre de la chaîne hôtelière Marriott pour une violation en novembre 2018.

Des annonces similaires ont toutes deux évoqué les violations du règlement général sur la protection des données. L’Union européenne a approuvé la loi sur la protection de la vie privée au printemps 2016 et l’a promulguée environ deux ans plus tard. Le monde des affaires a pris bonne note de la menace encourue par GDPR d’une amende pouvant représenter jusqu’à 4% du chiffre d’affaires mondial annuel d’une entreprise.

Seules quelques amendes majeures ont été infligées au cours de la première année d’application du GDPR. (Bien que l’amende de 57 millions de dollars imposée par la France à Google – en janvier dernier – pour le traitement de ses informations publicitaires dans le secteur de la publicité – ait été importante.) Pourtant, depuis le mois de mai, les gouvernements ont infligé beaucoup plus d’amendes majeures.

L’Allemagne a condamné un officier de police à une amende de 1 500 euros pour avoir recherché le numéro de téléphone portable d’un conducteur à l’aide des informations de sa plaque d’immatriculation et l’avoir appelé pour des raisons personnelles.

Les amendes de ce printemps incluaient le jugement français de plus de 400 millions d’euros contre une société immobilière pour traitement incorrect de données de caméras de surveillance, et une amende de 280 000 euros contre la Liga pour l’usage abusif du microphone par la ligue de football dans son application mobile.

Les amendes imposées cette semaine font suite à des atteintes à la sécurité des données – déjà extrêmement coûteuses pour les entreprises – et ciblent des défaillances spécifiques du GDPR assorties d’une sanction correspondante. « L’enquête de l’ICO a révélé que diverses informations avaient été compromises par de mauvaises dispositions en matière de sécurité, notamment les identifiants de connexion, de carte de paiement et de réservation de voyage », a annoncé l’agence. La compagnie aérienne coopère avec l’ICO et aura l’occasion de résoudre les problèmes pour réduire l’amende.

En ce qui concerne la chaîne d’hôtels Marriott, l’agence de surveillance britannique a critiqué le système de sécurité lié à l’acquisition d’une société. « L’enquête de l’ICO a révélé que Marriott n’avait pas entrepris un contrôle préalable suffisant », a déclaré l’agence dans un communiqué, « et aurait également dû faire davantage pour sécuriser ses systèmes. »

Partager sur :