IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes
La France championne avec 50 millions d'euros d'amendes infligées

Le , par Stéphane le calme
204 commentaires

817PARTAGES

15  0 
Les régulateurs européens ont infligé 114 millions d'euros d'amendes pour violation de données depuis l'entrée en vigueur de règles de confidentialité plus strictes à la mi-2018, les approches variant considérablement d'un pays à l'autre. Selon un rapport du cabinet d'avocats DLA Piper, la France a infligé la plus grosse amende (50 millions d'euros à Google). À la suite de deux violations de données de grande envergure, l'ICO (Information Commissioner's Office) britannique a publié deux avis d'intention d'imposer des amendes en juillet 2019 totalisant 282 millions de livres sterling (environ 329 millions d'euros), bien qu'aucune de celles-ci n'ait été finalisée à la date du présent rapport. Du côté du nombre de notifications de violations de données, les Pays-Bas, la Grande-Bretagne et l'Allemagne sont en tête en termes de nombre de notifications de violation de données.

Le règlement général sur la protection des données a été introduit dans le but de protéger les informations personnelles sensibles et prévoit des sanctions sévères si les entreprises perdent le contrôle des données ou les traitent sans le consentement approprié. Il est mis en œuvre par une mosaïque de bureaux nationaux de protection des données dans les 28 États membres de l'Union européenne, la responsabilité incombant de manière disproportionnée à l'Irlande, principal régulateur des grandes enseignes de la Silicon Valley qui y ont basé leurs opérations européennes comme Facebook.

Les amendes à ce jour font pâle figure face aux sanctions de plusieurs milliards d'euros imposées dans les affaires antitrust de l'UE, mais elles devraient augmenter avec le temps, car les appels et les litiges soumettent les sanctions à un examen minutieux et créent des précédents juridiques.


Commentant le rapport 2020, Ross McKean, un partenaire de DLA Piper spécialisé dans la protection des données, a déclaré : « le RGPD a propulsé la question de la violation des données au grand jour. Le taux de notification des violations a augmenté de plus de 12 % par rapport au rapport de l'année dernière et les régulateurs sont en train de tester leurs nouveaux pouvoirs pour sanctionner et infliger des amendes aux organisations ». En principe, les régulateurs peuvent infliger des amendes de 2 % ou, dans certains cas, de 4 %, du chiffre d'affaires global. Dans la pratique, ils devront juger si une sanction aussi lourde résiste au tribunal, a estimé McKean.

« Cela va prendre du temps - les régulateurs vont hésiter à passer à la sanction de 4 %, car les entreprises vont faire appel », a déclaré McKean. « Et vous perdez votre crédibilité en tant qu'organisme de réglementation si vous vous faites exploser en appel ».

La plus grande sanction unique menacée jusqu'à présent a été en Grande-Bretagne, où le régulateur a proposé une amende de 183 millions de livres (239 millions de dollars) contre le propriétaire de British Airways IAG pour le vol de données d'un demi-million de clients.

En vertu du RGPD, les violations de données à caractère personnel susceptibles d'entraîner « un risque » pour les droits et libertés des personnes physiques doivent être notifiées par l'organisme « responsable du traitement » à l'autorité de contrôle de la protection des données appropriée sans retard injustifié et, si possible, au plus tard 72 heures après en avoir pris connaissance. Lorsqu'une violation de données à caractère personnel est susceptible d'entraîner un « risque élevé » pour les droits et libertés des personnes physiques, ces personnes doivent également être informées sans retard injustifié. Les organisations encourent de lourdes sanctions pour avoir omis de notifier les violations de données à caractère personnel dans les délais impartis, y compris des amendes pouvant aller jusqu'à 10 millions d'euros, ou jusqu'à 2 % du chiffre d'affaires mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

De nombreuses organisations et, en fait, de nombreuses autorités de contrôle ont du mal à déterminer quand une violation est ou n'est pas à notifier, décision qui va dépendre du jugement du déclencheur juridique de la notification - là où il existe un « risque » pour les droits et libertés des personnes physiques. Aucun de ces termes n'est défini dans le RGPD. Certaines orientations sont disponibles, y compris, au niveau de l'UE, les lignes directrices sur la notification de violation de données à caractère personnel qui ont été initialement publiées par le groupe de travail Article 29 et adoptées par la suite par le Comité européen de la protection des données. Cependant, les orientations sont de haut niveau et ouvertes à une large interprétation. De plus amples informations seraient appréciées tant par les organisations signalant des infractions que par les autorités de contrôle évaluant les infractions afin de favoriser la cohérence et les meilleures pratiques en matière d'évaluation des risques. Une approche cohérente aiderait également les autorités de contrôle de l'UE à trier et à identifier plus rapidement les violations de données personnelles les plus graves.


Les retombées positives du RGPD

Mis à part les enquêtes, le RGPD a aussi entraîné des bénéfices pour les consommateurs de l’UE à mesure que les entreprises ont redoublé d’efforts pour éduquer le public sur leurs pratiques en matière de données. La mise en place de mécanisme d’accès, de rectification, et de suppression de requêtes a donné a des millions de personnes un moyen facile de mieux contrôler l’utilisation de leurs données personnelles. Et les droits donnés aux consommateurs de l’UE ont des conséquences sur beaucoup de consommateurs ne faisant pas partie de l’UE qui bénéficient de pratiques améliorées à mesure que les entreprises adoptent une approche du plus grand dénominateur commun à la confidentialité des données.

En l’absence de gros titres sur des enquêtes classées qui entraînent des amendes énormes, l’une des questions sur le RGPD désormais est de savoir si les entreprises vont devenir complaisantes et vont réduire la portée de leurs programmes de protection de la vie privée.

À l'occasion du premier anniversaire du RGPD le 25 mai 2019, Andrus Ansip, vice-président pour le marché unique numérique, et Věra Jourová, commissaire pour la justice, les consommateurs et l'égalité des genres, ont fait la déclaration suivante :

« La sensibilisation des citoyens progresse, ce qui est un signe très encourageant. Selon des chiffres récents, près de six personnes sur dix savent qu'il existe, dans leur pays, une autorité chargée de la protection des données. Cela représente une augmentation significative par rapport au chiffre de quatre personnes sur dix enregistré en 2015. Les autorités chargées de la protection des données ont un rôle essentiel à jouer pour que le règlement général sur la protection des données produise des résultats sur le terrain.

« La nouvelle législation est devenue le plancher réglementaire de l'Europe, qui détermine notre réponse dans bien d'autres domaines. L'intelligence artificielle, le développement des réseaux 5G et l'intégrité de nos élections sont autant de domaines où l'existence de règles strictes en matière de protection des données contribue à ce que l'élaboration de nos politiques et de nos technologies repose sur la confiance des citoyens.

« Le rayonnement des principes du RGPD dépasse les frontières de l'Europe. Du Chili au Japon en passant par le Brésil, la Corée du Sud, l'Argentine et le Kenya, nous assistons à l'émergence de nouvelles législations sur la protection de la vie privée, fondées sur des garanties solides, des droits individuels opposables et des autorités de contrôle indépendantes. Cette convergence vers le haut offre de nouvelles possibilités de promouvoir les flux de données reposant sur la confiance et la sécurité.

« Le RGPD a modifié le paysage en Europe et au-delà. Néanmoins, la conformité aux règles est le résultat d'un processus dynamique et ne peut se réaliser du jour au lendemain. Notre priorité principale pour les mois à venir est de parvenir à une mise en œuvre correcte et uniforme des règles dans les États membres. Nous invitons instamment les États membres à respecter la lettre et l'esprit du RGPD afin de créer un environnement prévisible et d'éviter de faire peser une charge excessive sur les parties prenantes, en particulier les PME. Nous poursuivrons également notre coopération étroite avec le comité européen de la protection des données et les autorités nationales chargées de la protection des données, ainsi qu'avec les entreprises et la société civile, afin de répondre aux questions les plus pressantes et de faciliter la mise en œuvre des nouvelles règles ».

Source : rapport

Et vous ?

Pensez-vous que le RGPD a contribué à améliorer votre expérience en ligne ? Dans quelle mesure ?
Quelle lecture pouvez-vous faire de ces statistiques ?

Voir aussi :

RGPD : une enquête montre comment des applications populaires comme Tinder ou Grindr envoient des données hautement personnelles à des milliers de partenaires publicitaires
La California Consumer Privacy Act entre en vigueur. Sous cette version US du RGPD, les entreprises proposent aux utilisateurs de supprimer leurs données s'ils ne veulent pas qu'elles les vendent
L'ICO annonce son intention d'infliger une amende de 110 MM € à Marriott pour infraction au RGPD, suite à un cyber incident signalé en novembre 2018
En application du RGPD, British Airlines risque une amende de 183 millions de livres suite au piratage de son site web de réservations

Une erreur dans cette actualité ? Signalez-nous-la !

204 commentaires
Commenter Signaler un problème
chrtophe
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 20/01/2020 à 19:28
Oui , c'est vrai.

Maintenant, en cas de contrôle, je pense que les amendes ou avertissement tiennent compte du cas de figure.
4  0 
petitours
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 19/01/2024 à 15:39
Citation Envoyé par Stéphane le calme Voir le message

Et vous ?

Que pensez-vous de la réglementation actuelle sur les cookies ? Est-elle efficace pour protéger vos données personnelles ?
Préférez-vous accepter tous les cookies ou bloquer ceux qui ne sont pas indispensables ? Pourquoi ?
Le RGPD est une épée de damoclès destructrice pour toutes les petites boites et une blagounette joyeusement contournée par les grosses boites dont les juristes trouvent sans peine la faille. C'est donc une mauvaise chose.
Le fenetre qui s'ouvre systématiquement avec la demande de consentement est une plaie d'ergonomie et 99% des utilisateurs, qui se moquent ou ne comprennent pas les enjeux, répondent en cliquant au plus vite sus oui. Perso je clique systématiquement sur oui parce que je suis persuadé que les malveillants font ce qu'ils ont à faire quand même et parce que la pub qui finance les sites est un modèle qui me va bien, surtout avec un bloqueur de pub pour ne pas la voir.

Citation Envoyé par Stéphane le calme Voir le message

Faites-vous confiance aux grandes plateformes comme Meta, X et d’autres pour respecter un « engagement sur les cookies » volontaire ? Pourquoi ou pourquoi pas ?
Évidement que toutes les plateformes gratuites, qui font donc leurs milliards avec les données des utilisateurs ne respecte pas et ne respecteront jamais d'engagements.

Citation Envoyé par Stéphane le calme Voir le message

Comment voyez-vous l’avenir de la publicité en ligne et de la protection des données ? Quels sont les défis et les opportunités ?
Je pense que le RGPD c'est du blabla ; ça ne sert à rien de demander approbation à l'utilisateur qui n'a pas la capacité matérielle ou technique de juger de quoi que ce soit.
La réglementation devrait définir les usages des données qui sont illégaux et condamner fermement ceux qui exploitent les données dans ce but illicite. La préoccupation de ce qui est acceptable ou pas par l'utilisateur est à déterminer en amont par le politique dont c'est le rôle.
2  0 
petitours
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 20/01/2020 à 16:49
Et les retombées négatives ?

J'en vois une perso : donner plus de force aux GAFA face aux "petits" qui ne disposent pas d'une armée de juriste pour maitriser les risques du RGPD (ou le contourner dans le cas des gafas)
1  0 
seedbarrett
Avatar de seedbarrett
Membre éclairé https://www.developpez.com
Le 26/01/2024 à 17:25
Citation Envoyé par Xavdeb Voir le message
Pour se souvenir du choix pendant 1 an, il faudra soit laisser un cookie, soit enregistrer l'IP de la personne en BDD, et donc par là même enfreindre les règles de confidentialités imposées
Ou alors on peut être originaux, par exemple laisser un token dans le navigateur qui gère directement les cookies. Après tout il existe déjà des plug in pour automatiquement refuser (ou accepter) les cookies par défaut.
1  0 
Xavdeb
Avatar de Xavdeb
Futur Membre du Club https://www.developpez.com
Le 26/01/2024 à 16:46
Pour se souvenir du choix pendant 1 an, il faudra soit laisser un cookie, soit enregistrer l'IP de la personne en BDD, et donc par là même enfreindre les règles de confidentialités imposées

C'est le serpent qui se mord la queue
Le mec qui a inventé ce système d'autorisation de cookie s'est bien fait plaisir mais a détruit l'ergonomie du web, et pour un résultat quasi nul à l'arrivée, sinon des complication à tous les niveaux (pour les créateur qui veulent suivre le trafi de leur site : c'est impossible, pour ceux qui veulent vérifier les mots clefs qui attirent le public, c'est impossible, pour ceux qui veulent offrir une expérience croisée entre plusieurs sites, c'est impossible

bref, aucun bénéfice visible, et un paquet de problèmes bien réels !
0  0 
petitours
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 26/01/2024 à 18:05
Citation Envoyé par Xavdeb Voir le message
(pour les créateur qui veulent suivre le trafi de leur site : c'est impossible, pour ceux qui veulent vérifier les mots clefs qui attirent le public, c'est impossible, pour ceux qui veulent offrir une expérience croisée entre plusieurs sites, c'est impossible
Sauf pour tous ceux qui le font joyeusement en ayant surement trouvé une belle règle juridique pour le faire sans inquiétude. Je pense à Facebook et tous les autres qui gagnent des milliards sur la base de l’échange de données utilisateur qui ont semble t-il ni stoppé ni ralenti leurs lucratives activités.
Non, ce n'est pas qu'une gène le RGPD, ce n'est pas qu'un danger ed mort pour les petites boites, c'est aussi et surtout un truc totalement inutile contre le mal visé.
0  0 
Commenter Signaler un problème