Les contrevenants au RGPD et leurs amendes

L'autorité de régulation de l'UE a déjà infligé de nombreuses amendes en rapport avec le RGPD. Ci-dessous, quelques exemples communiqués par SailPoint et Precise Security :

Cas 1

En juillet 2019, British Airways a été frappée par une amende record de plus de 200 millions d'euros. L'autorité britannique de protection des données, l'ICO, a sanctionné la compagnie aérienne après que des criminels ont pu lire les informations relatives aux cartes de crédit de près d'un demi-million de clients de la compagnie aérienne.

Cas 2

Une amende de plus de 110 millions d'euros a également été infligée par l'ICO à l'entreprise américaine Marriott International. La raison en était une faille de sécurité en novembre 2018 : celle-ci a exposé environ 339 millions de données d'hôtes ; 30 millions de ces données d'hôtes concernaient des habitants de 31 pays européens et sept autres millions de citoyens britanniques.

Cas 3

Google n'est pas non plus au-dessus des lois. Avec une amende de 50 millions de dollars, Google se trouve à la troisième place des pires pollueurs de données de 2019. Les frais ont été imposés au groupe américain par la CNIL, l'autorité française de protection des données, car Google n'a pas fourni suffisamment d'informations à ses utilisateurs sur leur consentement à la politique de données. De plus, le géant de la technologie n'a pas permis à ses clients de contrôler suffisamment l'utilisation des informations personnelles.

Cas 4

Enfin, il y a eu récemment l'amende la plus élevée jamais infligée en Allemagne par le RGPD : L'autorité berlinoise de protection des données a sanctionné le groupe immobilier Deutsche Wohnen SE par une amende record de 14,5 millions d'euros. La raison en était que l'entreprise enregistrait les informations personnelles de ses locataires sans vérifier si cela était nécessaire ou légal. Des données sensibles sur la situation personnelle et financière auraient ainsi été conservées pendant des années. Pour l'instant, la décision d'amende n'est pas encore définitive, l'organisation peut encore faire appel.

Cas 5

Les fournisseurs de Fintech doivent répondre à des exigences de conformité très strictes, car ils stockent, transmettent et traitent des données personnelles et financières sensibles dans le cadre de leurs services. Les sanctions en cas de non-respect de ces exigences sont par conséquent très sensibles : Ce n'est qu'en mai 2019 que l'autorité berlinoise de protection des données a infligé une amende de 50 000 euros à une App-Bank (cf. ici).

Les exemples peuvent être étendus à volonté. (Remarque de la rédaction : la présomption d'innocence s'applique également aux sanctions prévues par le RGPD jusqu'à ce qu'une décision judiciaire définitive soit rendue).

La conformité au centre des préoccupations

Le fait est que les entreprises doivent continuellement se pencher sur le thème de la conformité, car le respect d'un règlement aussi complexe n'est pas une chose unique, comme l'écrit en outre Volker Sommer de SailPoint, qui ajoute : "Cela implique des mesures aussi bien organisationnelles que techniques. La première étape, et la plus importante, que les entreprises doivent effectuer est de procéder à un contrôle de sécurité complet et à une évaluation des risques, et d'attribuer leurs données aux propriétaires des données dans l'ensemble de leur environnement. Pour réussir à se conformer au RGPD, chaque entreprise doit savoir qui sont ses utilisateurs, où se trouvent les données sensibles et contrôlées par les autorités et comment elles existent. Une fois que les données et les propriétaires ont été répertoriés, les entreprises doivent renforcer les contrôles qui déterminent qui a accès à certaines informations et qui ne l'a pas. L'accès aux données doit être contrôlé par le biais du "moindre privilège", de sorte que l'accès aux ressources minimales soit autorisé et que celui aux données sensibles soit fortement limité. Ces droits doivent être régulièrement revus.

Sources : SailPoint, Precise Security, Kafka Kommunikation GmbH