- Non-respect du consentement: 1.200.000€ (DE)
- Violation de données personnelles par un avocat : 2000€ (ES)
- 75.000€ de sanctions pour un refus de suppression de données personnelles (ES)
- 288.000€ de sanctions pour collecte disproportionnée de données (HU)
- Conservation trop longue des données : 75.000€
- 10.000€ de sanctions pour un email reçu sans consentement (BE)
- 112.000€ de sanctions pour un hopital n’ayant pas protégé les données de patients (N)
- Conclusion
Il est intéressant de revenir sur quelques-unes de ces sanctions afin de bien mesurer les erreurs faites par les responsables de traitement, celles-ci étant toujours riches d’enseignements.
Non-respect du consentement: 1.200.000€ (DE)
Les faits :
Une assurance avait organisé une série de concours ayant pour objectif de collecter les données personnelles de prospects et clients. L’entreprise a réutilisé ces données pour faire de la publicité, initialement en s’assurant que les personnes avaient bien donné leur consentement.
Toutefois, une erreur dans leurs processus d’envoi a abouti à l’envoi de communications commerciales à 500 personnes qui n’avaient pas accepté de telles publicités. L’assurance a mis en pause ses communications dès qu’elle a réalisé son erreur (donc pas de mauvaise foi de leur part), mais cela n’a pas permis d’éviter une sanction d’1.2M€ (soit 2400€ par email envoyé)
Ce que vous devez faire:
- Vous assurer d’avoir correctement obtenu le consentement pour l’envoi de communication commerciale (attention à ne pas vous tromper, le consentement n’est pas nécessaire pour tout)
- Former le personnel marketing et les personnes en charge de la communication, aux principaux risques RGPD
Violation de données personnelles par un avocat : 2000€ (ES)
Les faits :
L’agence espagnole de protection des données personnelles a prononcé 2000€ de sanction à l’encontre d’un avocat qui, dans le cadre d’une procédure judiciaire, a transmis des documents d’autres parties au procès, qui contenaient des données personnelles
Ce que vous devez faire:
- Une erreur d’inattention est toujours possible, cependant la mise en place d’une checklist ou d’un process aurait probablement aidé
- Mener un audit de conformité RGPD
75.000€ de sanctions pour un refus de suppression de données personnelles (ES)
Les faits :
L’agence espagnole de protection des données personnelles a prononcé une sanction de 75.000€ contre le gestionnaire d’un fichier d’institutions de Credit qui a refusé la suppression d’une personne dans ses fichiers
Ce que vous devez faire:
- Ici l’erreur résulte d’une méconnaissance du RGPD qui est pourtant limpide quant à la gestion des droits des personnes. Un manque de formation est à l’origine de cette sanction par les personnels en charge de la gestion de la conformité RGPD : formez-vous !
- De manière plus globale, il est important de tester les processus de conformité RGPD de temps à autre, afin de s’assurer qu’ils soient implémentés correctement (audit RGPD)
288.000€ de sanctions pour collecte disproportionnée de données (HU)
L’agence hongroise de protection des données personnelles a prononcé une sanction de 288.000€ pour une collecte disproportionnée de données personnelles, une conservation trop longue de ces données et l’insuffisance de mesures de sécurité mises en oeuvre.
Ce que vous devez faire:
- un des changements importants du RGPD est relatif au principe de minimisation qui impose de collecter un minimum de données personnelles
- les délais de conservation des données sont également importants et doivent être analysés traitement, par traitement (ou utiliser des modèles types basés sur les recommandations de la CNIL, et intégrés dans votre logiciel de gestion de conformité
Conservation trop longue des données : 75.000€
Les faits :
L’agence espagnole de protection des données personnelles a prononcé une sanction de 75.000€ à l’encontre d’un responsable de traitement pour avoir envoyé une mise en demeure de payer à une personne, alors que cette personne n’était plus client de l’entreprise depuis 2017
Ce que vous devez faire:
- bien gérer vos relations avec vos sous-traitants (cf. contrat article 28), en particulier relativement au recouvrement qui est un élément très sensible en termes de risques RGPD RGPD).
- Lisez notre article sur les délais de conservation des données
10.000€ de sanctions pour un email reçu sans consentement (BE)
Les faits :
L’agence belge de protection des données personnelles 10.000€ de sanctions pour envoi d’un email sans avoir reçu le consentement de la personne concernée et ne pas avoir répondu à cette personne suite à sa demande de droit d’accès
Ce que vous devez faire:
- ici la violation résulte d’un manque de formation lié au RGPD et aurait pu être évitée facilement, d’une part en s’assurant de bien recueillir le consentement lors de la collecte des données personnelles, et d’autre part, en s’assurant de répondre à une demande de droit d’accès/suppression
112.000€ de sanctions pour un hopital n’ayant pas protégé les données de patients (N)
Les faits :
L’agence norvégienne de protection des données personnelles a prononcé une sanction de 112.000€ pour un hôpital, responsable de traitement, qui a conservé les données de ses patients sur un réseau interne sans restrictions d’accès aux employés, entraînant une violation de leurs obligations de sécurité.
Ce que vous devez faire:
- Pour le traitement de données article 9, il est essentiel de prévoir des audits de sécurité informatique. Ici la faille de sécurité était vraiment classique.
Conclusion
Si l’on met de côté les erreurs d’inattention (cf. l’avocat), quasiment toutes les sanctions précitées auraient pu être évitées avec un minimum de formation sur le sujet. Vous pouvez jeter un oeil sur nos formations de base et les formations pratiques qui peuvent vous aider à avancer.
