RGPD: 29 décisions de sanction le mois dernier !

Ceux qui disaient que le RGPD serait une règlementation d’agrément peuvent désormais revoir leurs estimations, considérant que 29 décisions de sanctions ont été prononcées le mois dernier, on atteint quasiment aujourd’hui le rythme d’une sanction par jour en Europe.

Il est intéressant de revenir sur quelques-unes de ces sanctions afin de bien mesurer les erreurs faites par les responsables de traitement, celles-ci étant toujours riches d’enseignements.

Non-respect du consentement: 1.200.000€ (DE)

Les faits :

Une assurance avait organisé une série de concours ayant pour objectif de collecter les données personnelles de prospects et clients. L’entreprise a réutilisé ces données pour faire de la publicité, initialement en s’assurant que les personnes avaient bien donné leur consentement.

Toutefois, une erreur dans leurs processus d’envoi a abouti à l’envoi de communications commerciales à 500 personnes qui n’avaient pas accepté de telles publicités. L’assurance a mis en pause ses communications dès qu’elle a réalisé son erreur (donc pas de mauvaise foi de leur part), mais cela n’a pas permis d’éviter une sanction d’1.2M€ (soit 2400€ par email envoyé)

Ce que vous devez faire:

Violation de données personnelles par un avocat : 2000€ (ES)

Les faits :

L’agence espagnole de protection des données personnelles a prononcé 2000€ de sanction à l’encontre d’un avocat qui, dans le cadre d’une procédure judiciaire, a transmis des documents d’autres parties au procès, qui contenaient des données personnelles

Ce que vous devez faire:

  • Une erreur d’inattention est toujours possible, cependant la mise en place d’une checklist ou d’un process aurait probablement aidé
  • Mener un audit de conformité RGPD

75.000€ de sanctions pour un refus de suppression de données personnelles (ES)

Les faits :

L’agence espagnole de protection des données personnelles a prononcé une sanction de 75.000€ contre le gestionnaire d’un fichier d’institutions de Credit qui a refusé la suppression d’une personne dans ses fichiers

Ce que vous devez faire:

  • Ici l’erreur résulte d’une méconnaissance du RGPD qui est pourtant limpide quant à la gestion des droits des personnes. Un manque de formation est à l’origine de cette sanction par les personnels en charge de la gestion de la conformité RGPD : formez-vous !
  • De manière plus globale, il est important de tester les processus de conformité RGPD de temps à autre, afin de s’assurer qu’ils soient implémentés correctement (audit RGPD)

288.000€ de sanctions pour collecte disproportionnée de données (HU)

L’agence hongroise de protection des données personnelles a prononcé une sanction de 288.000€ pour une collecte disproportionnée de données personnelles, une conservation trop longue de ces données et l’insuffisance de mesures de sécurité mises en oeuvre.

Ce que vous devez faire:

  • un des changements importants du RGPD est relatif au principe de minimisation qui impose de collecter un minimum de données personnelles
  • les délais de conservation des données sont également importants et doivent être analysés traitement, par traitement (ou utiliser des modèles types basés sur les recommandations de la CNIL, et intégrés dans votre logiciel de gestion de conformité

Conservation trop longue des données : 75.000€

Les faits :

L’agence espagnole de protection des données personnelles a prononcé une sanction de 75.000€ à l’encontre d’un responsable de traitement pour avoir envoyé une mise en demeure de payer à une personne, alors que cette personne n’était plus client de l’entreprise depuis 2017

Ce que vous devez faire:

  • bien gérer vos relations avec vos sous-traitants (cf. contrat article 28), en particulier relativement au recouvrement qui est un élément très sensible en termes de risques RGPD RGPD).
  • Lisez notre article sur les délais de conservation des données

10.000€ de sanctions pour un email reçu sans consentement (BE)

Les faits :

L’agence belge de protection des données personnelles 10.000€ de sanctions pour envoi d’un email sans avoir reçu le consentement de la personne concernée et ne pas avoir répondu à cette personne suite à sa demande de droit d’accès

Ce que vous devez faire:

  • ici la violation résulte d’un manque de formation lié au RGPD et aurait pu être évitée facilement, d’une part en s’assurant de bien recueillir le consentement lors de la collecte des données personnelles, et d’autre part, en s’assurant de répondre à une demande de droit d’accès/suppression

112.000€ de sanctions pour un hopital n’ayant pas protégé les données de patients (N)

Les faits :

L’agence norvégienne de protection des données personnelles a prononcé une sanction de 112.000€ pour un hôpital, responsable de traitement, qui a conservé les données de ses patients sur un réseau interne sans restrictions d’accès aux employés, entraînant une violation de leurs obligations de sécurité.

Ce que vous devez faire:

  • Pour le traitement de données article 9, il est essentiel de prévoir des audits de sécurité informatique. Ici la faille de sécurité était vraiment classique.

Conclusion

Si l’on met de côté les erreurs d’inattention (cf. l’avocat), quasiment toutes les sanctions précitées auraient pu être évitées avec un minimum de formation sur le sujet. Vous pouvez jeter un oeil sur nos formations de base et les formations pratiques qui peuvent vous aider à avancer.

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
VOS CGV (gratuites)