Ces sanctions sont assurément la résultante de l’augmentation significative des plaintes déposées à la CNIL :
On peut noter également qu’en plus des sanctions financières prononcées à l’encontre d’une entreprise, la publicité très négative associée à la marque est également un élément à prendre en compte.
On fera donc un récapitulatif des sanctions les plus intéressantes prononcées pour chaque type de structure : grandes entreprises (I), ETI et PME (II), enfin les TPE et les individuels (professions libérales…) (III), en rappelant à chaque fois les actions à mettre en oeuvre pour les éviter.
I - Les sanctions RGPD à l’encontre des grandes entreprises
Les sanctions prononcées pour les grandes entreprises sont sans doute les plus marquantes en raison des montants financiers qui sont de l’ordre de plusieurs millions d’euros à plusieurs centaines de millions d’euros. Voici quelques exemples marquants :
A - Carrefour : 3 millions € pour ne pas avoir informé les personnes de leurs droits
Carrefour et Carrefour Banque ont été sanctionnées pour ne pas avoir correctement géré le traitement des données personnelles de leurs clients et en particulier :
- avoir délivré une information confuse sur les traitements effectués sur les sites web carrefour.fr et carrefour-banque.fr (art. 13)
- avoir demandé la pièce d’identité des personnes pour faire valoir leurs droits (ce qui est non conforme à l’article 12 du RGPD), alors que cela n’est pas nécessaire et que le RGPD impose au responsable de traitement de faciliter “l’exercice des droits” des personnes (art. 12)
- ne pas avoir donné suite aux demandes de droit d’accès ou aux droits d’opposition des personnes qui avaient été exprimés (opposition sms ou email)
- avoir collecté des informations de manière déloyale auprès de ses clients (art. 5)
La décision est intéressante, car c’est la première qui mentionne également une violation aux cookies (bien que ne faisant pas partie du RGPD à proprement parler - mais de la directive 2002/58).
Comment éviter ces risques:
- Indiquez des mentions légales conformes à l’article 13 avant la collecte des données personnelles, il est possible de générer ces mentions légales automatiquement si vous ne savez pas comment faire ; vous pouvez lire notre article sur la rédaction des mentions légales RGPD si vous souhaitez le faire manuellement
- Créer et déployer des processus de conformité RGPD afin de vous assurer que la collecte des données se fait de manière loyale ;
- De même il faut gérer toutes les demandes de droit d’accès et vous assurer qu’elles soient traitées en temps et en heure, il est courant de gérer cela avec des outils logiciels, mais on peut le faire à la main sans problème, attention toutefois à bien respecter les délais (1 mois) pour la réponse.
- sensibiliser les équipes marketing aux risques RGPD - répondre aux demandes de droit d’accès en particulier
B - H&M : 35 millions d’euros pour surveillance illégale de ses employés
En 2020, l’entreprise H&M a été condamnée à 35 millions d’euros pour surveillance illégale de ses propres employés. En particulier H&M avait crée des profils de ses employés qui contenaient des informations médicales (symptômes à chaque absence pour maladie, détails de la maladie en question, détails des diagnostics, etc.), ainsi que des informations relatives aux croyances religieuses, des détails précis relatifs à leur vie privée, autant qu’à leurs problèmes personnels (voir ici pour le détail de l’affaire). Or, une telle collecte de données personnelle est interdite par le RGPD et viole le principe de minimisation. Voici une vidéo qui vous rappelle ce principe en détail :
Comment éviter ces risques:
- Le RGPD impose de collecter le minimum de données personnelles dans un traitement (principe de minimisation). Ce principe est simple à comprendre et à mettre en oeuvre, ici l’amende aurait pu être évitée en formant simplement le personnel interne de H&M au RGPD.
- d’autre part la collecte de données sensibles (santé, opinions politiques, religieuses…) est interdite, sauf exception prévue par la loi. Si votre entreprise collecte ce type de donnée, vous devez impérativement analyser la question de la légalité de cette collecte de données au regard du RGPD.
C - British Airways : 22 millions pour ne pas avoir sécurisé ses données
L’autorité britannique de protection des données a sanctionné British Airways pour ne pas avoir sécurisé un grand volume de données personnelles. L’entreprise a été par la suite victime d’une attaque informatique en raison de ses défaillances.
Comment éviter ces risques:
De manière intéressante l’ICO a remarqué dans sa décision que la sanction aurait pu être évitée :
- en limitant l’accès à l’application victime de l’attaque aux seules personnes qui en ont besoin
- en mettant en place des audits de sécurité informatique
- en mettant en place l’authentification multifacteur (voir la formation sur la sécurité des mots de passe sécurisés dans Legiscope pour plus d’informations à ce titre)
D - Marriott : 20 millions pour ne pas avoir sécurisé ses données
L’ICO a également sanctionné le groupe hôtelier Marriott à 20 millions d’euros pour violation de ses obligations en matière de sécurité informatique. En effet, plus de 339 millions de comptes clients ont été affectés par une attaque informatique et de très nombreuses données personnelles ont été volées (noms, prénoms, emails et numéros de passeport). Voir également la note de la CNIL sur le sujet.
E - Notebooksbilliger.de : 10 millions pour surveillance illégale
L’autorité allemande de protection des données personnelles a sanctionné l’entreprise éditrice du site notebooksbilliger.de pour avoir mis en place des caméras de surveillance de ses employés sans base légale. L’entreprise avait indiqué que la finalité des caméras de surveillance était de prévenir la commission de délits et assurer la surveillance des biens, toutefois, les moyens mis en oeuvre étaient disproportionnés par rapport aux objectifs.
F - Google / Amazon : 135 millions d’euros pour violation des règles en matière de cookies
Google et Amazon ont été condamnés à 135 millions d’euros (total des amendes combinées) pour non-respect des règles relatives aux cookies - bien que cela ne relève pas du RGPD à proprement parler, mais de la directive 2002/58.
II - Sanctions RGPD à l’encontre des ETI/PME
Les autorités nationales de protection des données personnelles ont également sanctionné en grand nombre les entreprises de taille intermédiaire ainsi que les PME avec des amendes tout aussi dissuasives au regard de la taille de ces entreprises.
A - Spartoo (vente en ligne de chaussures) : 250.000€ pour collecte illégale de données
La société SPARTOO, spécialisée dans la vente en ligne de chaussures en ligne a écopé d’une sanction de 250.000€ en raison de leur mauvaise gestion des données personnelles de leurs clients, prospects et salariés.
Dans cette affaire, la CNIL avait relevé trois griefs principaux :
- une collecte excessive de données personnelles - non conforme au principe de minimisation (décidément essentiel à respecter) ; en l’occurrence l’ensemble des appels téléphoniques reçus faisaient l’objet d’un enregistrement
- des délais de conservation trop long de données personnelles, en particulier pour leurs anciens clients - la CNIL avait relevé que plus de 3 millions d’anciens clients ne s’étaient pas connectés à leur compte depuis plus de 5 ans (voir notre article pour vous aider à déterminer le bon délai de conservation des données)
- une information défaillante des personnes dont les données étaient collectées (mentions art. 13 - voir comment les mettre en place ici)
- une politique de mots de passe défaillante et non conforme aux prescriptions de la CNIL (à ce titre, suivez-la formation courte relative aux mots de passe sur Legiscope, elle détaille l’ensemble des règles à respecter)
B - Futura Internationale 500.000 euros pour démarchage téléphonique illégal
Futura Internationale avait décidé de faire de la prospection commerciale par téléphone afin de vendre ses services (d’isolation de bâtiments). Et pour ce faire, elle fait appel à des centres d’appels basés en Afrique du Nord. Les sous-traitants appelaient des prospects en masse sans noter leur opposition au démarchage téléphonique ce qui a déclenché de nombreuses plaintes - voir le détail de l’affaire ici.
La CNIL a sanctionné l’entreprise à 500.000€ d’amende sur trois fondements:
- absence de prise en compte du droit d’opposition des personnes (aucune procédure ne permettait de s’assurer efficacement que les personnes s’étant opposées au démarchage téléphonique ne soient plus appelées) ;
- présence de données non pertinentes (commentaires injurieux ou en lien avec la santé des personnes) dans le fichier client de la société ; pour comprendre ces risques et les éviter, suivez la formation “les risques liés aux champs libres” sur legiscope.
- information insuffisante des personnes démarchées sur le traitement de leurs données personnelles et les droits dont elles bénéficient ;
- défaut de coopération avec la CNIL ;
- encadrement insuffisant des transferts de données personnelles vers des prestataires situés hors de l’Union européenne.
C - SERGIC 400.000€ pour défaut de sécurité du traitement et conservation illicite de données personnelles
L’entreprise Sergic a été condamnée à 400.000€ d’amende par la CNIL en raison d’une faille de sécurité ayant rendu public les données personnelles de leur client qui étaient accessibles sans aucune protection. L’entreprise avait eu connaissance de la faille de sécurité, mais n’a rien fait pour arrêter la fuite avant de nombreux mois.
Au cours de son contrôle, la CNIL a également relevé le fait que l’entreprise conservait les données personnelles de leurs clients sans limitation de durée, ce qui est contraire encore une fois au principe de minimisation.
III - Sanctions RGPD à l’encontre des des PME / TPE / individuels
Ce que les sanctions révèlent c’est que les petites entreprises tendent souvent à faire des erreurs importantes dans leurs processus marketing. Que ce soit l’envoi d’email intempestif ou l’ajout de personnes dans des bases de données sans leur consentement.
A - Une App mobile sanctionnée à 20.000€ pour envoi d’email intempestifs
La CNIL a sanctionné la société NESTOR pour avoir adressé des courriels de prospection sans le consentement des personnes concernées et pour ne pas avoir correctement informé les personnes de leurs droits.
Attention à:
- bien vous assurer de recueillir le consentement des personnes avant de leur envoyer des emails
B - 112.000€ de sanctions pour un hôpital n’ayant pas protégé les données de patients
L’agence norvégienne de protection des données personnelles a prononcé une sanction de 112.000€ pour un hôpital, responsable de traitement, qui a conservé les données de ses patients sur un réseau interne sans restrictions d’accès aux employés, entraînant une violation de leurs obligations de sécurité.
Attention à:
- Pour le traitement de données article 9, il est essentiel de prévoir des audits de sécurité informatique. Ici la faille de sécurité était vraiment classique.
C - 7.500€ de sanctions pour une TPE ayant spammé ses utilisateurs
La société Performclick (2 employés) a fait l’objet d’une sanction de 7.500€ de la part de la CNIL française en raison de nombreux SPAMS qu’elle avait envoyés ; les manquements au RGPD suivant avaient été relevés par la CNIL :
- la société n’a pas été en mesure de prouver que le consentement des personnes avait été acquis pour l’envoi des emails ;
- des données excessives étaient collectées par l’entreprise sans que la durée de conservation soit adéquate
- les personnes dont les données étaient collectées n’étaient pas informées clairement de la collecte
- le droit d’opposition n’était pas respecté
- les données étaient transférées hors de l’UE
Utiliser un processus standard d’acquisition du consentement est essentiel pour s’assurer de la conformité de l’acquisition des données personnelles:
D - Deux médecins sanctionnés à 9.000€ pour ne pas avoir protégé des données médicales
La CNIL a constaté lors d’un contrôle en ligne que des milliers d’images médicales hébergées sur un serveur appartenant à deux médecins étaient librement accessibles sur Internet.
Deux obligations avaient été violées ici :
- un manquement à la sécurité informatique et à la confidentialité des données
- et l’absence de notification lors d’une violation de données personnelles. Le RGPD impose en effet de gérer les violations de données personnelles selon une procédure spécifique, et de tenir un registre des violations à jour.
E - Un avocat sanctionné pour avoir envoyé des pièces clients à un tiers
L’agence espagnole de protection des données personnelles a prononcé 2000€ de sanction à l’encontre d’un avocat qui, dans le cadre d’une procédure judiciaire, a transmis des documents d’autres parties au procès, qui contenaient des données personnelles
Comment éviter ces risques:
- Une erreur d’inattention est toujours possible, cependant la mise en place d’une checklist ou d’un process aurait probablement aidé
- Mener un audit de conformité RGPD