IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes
La France championne avec 50 millions d'euros d'amendes infligées

Le , par Stéphane le calme

817PARTAGES

15  0 
Les régulateurs européens ont infligé 114 millions d'euros d'amendes pour violation de données depuis l'entrée en vigueur de règles de confidentialité plus strictes à la mi-2018, les approches variant considérablement d'un pays à l'autre. Selon un rapport du cabinet d'avocats DLA Piper, la France a infligé la plus grosse amende (50 millions d'euros à Google). À la suite de deux violations de données de grande envergure, l'ICO (Information Commissioner's Office) britannique a publié deux avis d'intention d'imposer des amendes en juillet 2019 totalisant 282 millions de livres sterling (environ 329 millions d'euros), bien qu'aucune de celles-ci n'ait été finalisée à la date du présent rapport. Du côté du nombre de notifications de violations de données, les Pays-Bas, la Grande-Bretagne et l'Allemagne sont en tête en termes de nombre de notifications de violation de données.

Le règlement général sur la protection des données a été introduit dans le but de protéger les informations personnelles sensibles et prévoit des sanctions sévères si les entreprises perdent le contrôle des données ou les traitent sans le consentement approprié. Il est mis en œuvre par une mosaïque de bureaux nationaux de protection des données dans les 28 États membres de l'Union européenne, la responsabilité incombant de manière disproportionnée à l'Irlande, principal régulateur des grandes enseignes de la Silicon Valley qui y ont basé leurs opérations européennes comme Facebook.

Les amendes à ce jour font pâle figure face aux sanctions de plusieurs milliards d'euros imposées dans les affaires antitrust de l'UE, mais elles devraient augmenter avec le temps, car les appels et les litiges soumettent les sanctions à un examen minutieux et créent des précédents juridiques.


Commentant le rapport 2020, Ross McKean, un partenaire de DLA Piper spécialisé dans la protection des données, a déclaré : « le RGPD a propulsé la question de la violation des données au grand jour. Le taux de notification des violations a augmenté de plus de 12 % par rapport au rapport de l'année dernière et les régulateurs sont en train de tester leurs nouveaux pouvoirs pour sanctionner et infliger des amendes aux organisations ». En principe, les régulateurs peuvent infliger des amendes de 2 % ou, dans certains cas, de 4 %, du chiffre d'affaires global. Dans la pratique, ils devront juger si une sanction aussi lourde résiste au tribunal, a estimé McKean.

« Cela va prendre du temps - les régulateurs vont hésiter à passer à la sanction de 4 %, car les entreprises vont faire appel », a déclaré McKean. « Et vous perdez votre crédibilité en tant qu'organisme de réglementation si vous vous faites exploser en appel ».

La plus grande sanction unique menacée jusqu'à présent a été en Grande-Bretagne, où le régulateur a proposé une amende de 183 millions de livres (239 millions de dollars) contre le propriétaire de British Airways IAG pour le vol de données d'un demi-million de clients.

En vertu du RGPD, les violations de données à caractère personnel susceptibles d'entraîner « un risque » pour les droits et libertés des personnes physiques doivent être notifiées par l'organisme « responsable du traitement » à l'autorité de contrôle de la protection des données appropriée sans retard injustifié et, si possible, au plus tard 72 heures après en avoir pris connaissance. Lorsqu'une violation de données à caractère personnel est susceptible d'entraîner un « risque élevé » pour les droits et libertés des personnes physiques, ces personnes doivent également être informées sans retard injustifié. Les organisations encourent de lourdes sanctions pour avoir omis de notifier les violations de données à caractère personnel dans les délais impartis, y compris des amendes pouvant aller jusqu'à 10 millions d'euros, ou jusqu'à 2 % du chiffre d'affaires mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

De nombreuses organisations et, en fait, de nombreuses autorités de contrôle ont du mal à déterminer quand une violation est ou n'est pas à notifier, décision qui va dépendre du jugement du déclencheur juridique de la notification - là où il existe un « risque » pour les droits et libertés des personnes physiques. Aucun de ces termes n'est défini dans le RGPD. Certaines orientations sont disponibles, y compris, au niveau de l'UE, les lignes directrices sur la notification de violation de données à caractère personnel qui ont été initialement publiées par le groupe de travail Article 29 et adoptées par la suite par le Comité européen de la protection des données. Cependant, les orientations sont de haut niveau et ouvertes à une large interprétation. De plus amples informations seraient appréciées tant par les organisations signalant des infractions que par les autorités de contrôle évaluant les infractions afin de favoriser la cohérence et les meilleures pratiques en matière d'évaluation des risques. Une approche cohérente aiderait également les autorités de contrôle de l'UE à trier et à identifier plus rapidement les violations de données personnelles les plus graves.


Les retombées positives du RGPD

Mis à part les enquêtes, le RGPD a aussi entraîné des bénéfices pour les consommateurs de l’UE à mesure que les entreprises ont redoublé d’efforts pour éduquer le public sur leurs pratiques en matière de données. La mise en place de mécanisme d’accès, de rectification, et de suppression de requêtes a donné a des millions de personnes un moyen facile de mieux contrôler l’utilisation de leurs données personnelles. Et les droits donnés aux consommateurs de l’UE ont des conséquences sur beaucoup de consommateurs ne faisant pas partie de l’UE qui bénéficient de pratiques améliorées à mesure que les entreprises adoptent une approche du plus grand dénominateur commun à la confidentialité des données.

En l’absence de gros titres sur des enquêtes classées qui entraînent des amendes énormes, l’une des questions sur le RGPD désormais est de savoir si les entreprises vont devenir complaisantes et vont réduire la portée de leurs programmes de protection de la vie privée.

À l'occasion du premier anniversaire du RGPD le 25 mai 2019, Andrus Ansip, vice-président pour le marché unique numérique, et Věra Jourová, commissaire pour la justice, les consommateurs et l'égalité des genres, ont fait la déclaration suivante :

« La sensibilisation des citoyens progresse, ce qui est un signe très encourageant. Selon des chiffres récents, près de six personnes sur dix savent qu'il existe, dans leur pays, une autorité chargée de la protection des données. Cela représente une augmentation significative par rapport au chiffre de quatre personnes sur dix enregistré en 2015. Les autorités chargées de la protection des données ont un rôle essentiel à jouer pour que le règlement général sur la protection des données produise des résultats sur le terrain.

« La nouvelle législation est devenue le plancher réglementaire de l'Europe, qui détermine notre réponse dans bien d'autres domaines. L'intelligence artificielle, le développement des réseaux 5G et l'intégrité de nos élections sont autant de domaines où l'existence de règles strictes en matière de protection des données contribue à ce que l'élaboration de nos politiques et de nos technologies repose sur la confiance des citoyens.

« Le rayonnement des principes du RGPD dépasse les frontières de l'Europe. Du Chili au Japon en passant par le Brésil, la Corée du Sud, l'Argentine et le Kenya, nous assistons à l'émergence de nouvelles législations sur la protection de la vie privée, fondées sur des garanties solides, des droits individuels opposables et des autorités de contrôle indépendantes. Cette convergence vers le haut offre de nouvelles possibilités de promouvoir les flux de données reposant sur la confiance et la sécurité.

« Le RGPD a modifié le paysage en Europe et au-delà. Néanmoins, la conformité aux règles est le résultat d'un processus dynamique et ne peut se réaliser du jour au lendemain. Notre priorité principale pour les mois à venir est de parvenir à une mise en œuvre correcte et uniforme des règles dans les États membres. Nous invitons instamment les États membres à respecter la lettre et l'esprit du RGPD afin de créer un environnement prévisible et d'éviter de faire peser une charge excessive sur les parties prenantes, en particulier les PME. Nous poursuivrons également notre coopération étroite avec le comité européen de la protection des données et les autorités nationales chargées de la protection des données, ainsi qu'avec les entreprises et la société civile, afin de répondre aux questions les plus pressantes et de faciliter la mise en œuvre des nouvelles règles ».

Source : rapport

Et vous ?

Pensez-vous que le RGPD a contribué à améliorer votre expérience en ligne ? Dans quelle mesure ?
Quelle lecture pouvez-vous faire de ces statistiques ?

Voir aussi :

RGPD : une enquête montre comment des applications populaires comme Tinder ou Grindr envoient des données hautement personnelles à des milliers de partenaires publicitaires
La California Consumer Privacy Act entre en vigueur. Sous cette version US du RGPD, les entreprises proposent aux utilisateurs de supprimer leurs données s'ils ne veulent pas qu'elles les vendent
L'ICO annonce son intention d'infliger une amende de 110 MM € à Marriott pour infraction au RGPD, suite à un cyber incident signalé en novembre 2018
En application du RGPD, British Airlines risque une amende de 183 millions de livres suite au piratage de son site web de réservations

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 20/01/2020 à 19:28
Oui , c'est vrai.

Maintenant, en cas de contrôle, je pense que les amendes ou avertissement tiennent compte du cas de figure.
4  0 
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 19/01/2024 à 15:39
Citation Envoyé par Stéphane le calme Voir le message
Et vous ?

Que pensez-vous de la réglementation actuelle sur les cookies ? Est-elle efficace pour protéger vos données personnelles ?
Préférez-vous accepter tous les cookies ou bloquer ceux qui ne sont pas indispensables ? Pourquoi ?
Le RGPD est une épée de damoclès destructrice pour toutes les petites boites et une blagounette joyeusement contournée par les grosses boites dont les juristes trouvent sans peine la faille. C'est donc une mauvaise chose.
Le fenetre qui s'ouvre systématiquement avec la demande de consentement est une plaie d'ergonomie et 99% des utilisateurs, qui se moquent ou ne comprennent pas les enjeux, répondent en cliquant au plus vite sus oui. Perso je clique systématiquement sur oui parce que je suis persuadé que les malveillants font ce qu'ils ont à faire quand même et parce que la pub qui finance les sites est un modèle qui me va bien, surtout avec un bloqueur de pub pour ne pas la voir.

Citation Envoyé par Stéphane le calme Voir le message
Faites-vous confiance aux grandes plateformes comme Meta, X et d’autres pour respecter un « engagement sur les cookies » volontaire ? Pourquoi ou pourquoi pas ?
Évidement que toutes les plateformes gratuites, qui font donc leurs milliards avec les données des utilisateurs ne respecte pas et ne respecteront jamais d'engagements.

Citation Envoyé par Stéphane le calme Voir le message
Comment voyez-vous l’avenir de la publicité en ligne et de la protection des données ? Quels sont les défis et les opportunités ?
Je pense que le RGPD c'est du blabla ; ça ne sert à rien de demander approbation à l'utilisateur qui n'a pas la capacité matérielle ou technique de juger de quoi que ce soit.
La réglementation devrait définir les usages des données qui sont illégaux et condamner fermement ceux qui exploitent les données dans ce but illicite. La préoccupation de ce qui est acceptable ou pas par l'utilisateur est à déterminer en amont par le politique dont c'est le rôle.
2  0 
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 20/01/2020 à 16:49
Et les retombées négatives ?

J'en vois une perso : donner plus de force aux GAFA face aux "petits" qui ne disposent pas d'une armée de juriste pour maitriser les risques du RGPD (ou le contourner dans le cas des gafas)
1  0 
Avatar de seedbarrett
Membre éclairé https://www.developpez.com
Le 26/01/2024 à 17:25
Citation Envoyé par Xavdeb Voir le message
Pour se souvenir du choix pendant 1 an, il faudra soit laisser un cookie, soit enregistrer l'IP de la personne en BDD, et donc par là même enfreindre les règles de confidentialités imposées
Ou alors on peut être originaux, par exemple laisser un token dans le navigateur qui gère directement les cookies. Après tout il existe déjà des plug in pour automatiquement refuser (ou accepter) les cookies par défaut.
1  0 
Avatar de Xavdeb
Candidat au Club https://www.developpez.com
Le 26/01/2024 à 16:46
Pour se souvenir du choix pendant 1 an, il faudra soit laisser un cookie, soit enregistrer l'IP de la personne en BDD, et donc par là même enfreindre les règles de confidentialités imposées

C'est le serpent qui se mord la queue
Le mec qui a inventé ce système d'autorisation de cookie s'est bien fait plaisir mais a détruit l'ergonomie du web, et pour un résultat quasi nul à l'arrivée, sinon des complication à tous les niveaux (pour les créateur qui veulent suivre le trafi de leur site : c'est impossible, pour ceux qui veulent vérifier les mots clefs qui attirent le public, c'est impossible, pour ceux qui veulent offrir une expérience croisée entre plusieurs sites, c'est impossible

bref, aucun bénéfice visible, et un paquet de problèmes bien réels !
0  0 
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 26/01/2024 à 18:05
Citation Envoyé par Xavdeb Voir le message
(pour les créateur qui veulent suivre le trafi de leur site : c'est impossible, pour ceux qui veulent vérifier les mots clefs qui attirent le public, c'est impossible, pour ceux qui veulent offrir une expérience croisée entre plusieurs sites, c'est impossible
Sauf pour tous ceux qui le font joyeusement en ayant surement trouvé une belle règle juridique pour le faire sans inquiétude. Je pense à Facebook et tous les autres qui gagnent des milliards sur la base de l’échange de données utilisateur qui ont semble t-il ni stoppé ni ralenti leurs lucratives activités.
Non, ce n'est pas qu'une gène le RGPD, ce n'est pas qu'un danger ed mort pour les petites boites, c'est aussi et surtout un truc totalement inutile contre le mal visé.
0  0 
Avatar de Gluups
Membre émérite https://www.developpez.com
Le 06/10/2024 à 13:06
Citation Envoyé par Anselme45 Voir le message
Des sites décident de fermer à cause du RGPD?

Mais est-ce vraiment un problème? Ces dernières années une quantité astronomique d'intervenants ont basé leur "business model" sur l'espionnage systématique de leur utilisateurs récupérant des données personnelles (style géolocalisation, accès aux contacts, etc.) qui ne sont nullement nécessaires au fonctionnement du produit.

Que ces vampire du numérique doivent fermer parce qu'ils ne génèrent aucun chiffre d'affaire autre que la commercialisation de la vie privé de leur clients ne me pose aucun problème.
Tout-à-fait.
Quand le RGPD est sorti je n'étais pas disponible pour intervenir sur mon site web, mais ça ne me posait pas de problème car je n'ai jamais eu l'intention de tricher avec.
Les seuls cookies qui sont utilisés sont ceux sans lesquels WebForms ne peut pas exploiter les clics pour charger la page voulue, et j'ai écrit une page web pour expliquer à l'utilisateur les contenus des cookies.

Donc, que le fait de ne pas pratiquer cela soit sanctionné, n'était pas un problème.

Que des sites web aient besoin d'équipes coûteuses pour respecter le RGPD est préoccupant, car ça signifie qu'ils ont l'intention de jongler avec les limites pour exploiter les données des utilisateurs.

Alors il est vrai que je ne gère pas de données géographiques, en dehors de déduire le pays du lecteur d'après son adresse IP. C'est vrai que si il s'agit de proposer du troc en mettant les gens en relation en fonction de leur proximité, ça peut être plus délicat.

Je me représente qu'il doit y avoir moyen de faire une page de préambule qui explique les données stockées et l'espionnage qui pourrait en résulter, un peu sur le modèle selon lequel les sites porno demandent à l'utilisateur si il est majeur. Une fois ces explications fournies, et que l'utilisateur dit OK j'y vais, je ne vois pas trop bien ce qu'il pourrait y avoir à redire. Alors ce n'est pas exactement la même interface que ce qui est imposé par le RGPD, mais l'esprit est respecté.

Il est quelque part envisagé que l'accord de l'utilisateur ne lui soit demandé qu'une fois par an. Ça me laisse un peu mitigé, car ça signifie qu'on reconnaît l'utilisateur, et que du coup on a pu stocker autre chose sur lui. Tant qu'à faire, on peut carrément créer un profil utilisateur et demander de s'authentifier pour y accéder.
On l'a reconnu comment, d'ailleurs ? En créant un cookie ? Ah ou d'après l'adresse IP ? Ça marche pour les nomades, ça ?
0  0