Your address will show here +12 34 56 78
Non classé, RGPD en Europe

Deux jugements nous rappellent que la conformité au  RGPD  s’applique à tous : entreprises et individus.

 

Il ne suffit pas, hélas, d’avoir tout fait pour mettre son entreprise et ses procédures en conformité avec le RGPD. Il faut aussi que les collaborateurs comprennent le règlement et l’applique !

 

  • Jugement du 5 août 2020 de l’autorité de contrôle autrichienne: amende de…100 euros émise à l’encontre d’une banque.
Un de ses employés avait photocopié des documents d’identité d’un client qui souhaitait changer des livres turques en euros pour un montant de 100 euros.


La justification donnée par l’employé: la procédures applicable eut égard aux risques de blanchiment d’argent et/ou de financement du terrorisme. Ceci n’est  cependant valable qu’à partir d’une somme de…1000 euros. Il n’y avait donc pas de base légale à cette collecte de données personnelles.

 

Si l’amende est bégnine et l’identité de la banque anonyme, ce jugement démontre :

 

  • Que les particuliers peuvent être parfaitement au courant de leurs droits aux termes du RGPD et n’hésitent pas à les faire respecter.
  • L’importance de la formation au RGPD pour ses collaborateurs et qu’ils appliquent « l’esprit RGPD ».

 

Jugement du 17 août 2020 de l’autorité de contrôle estonienne, amendes de 48 euros pour un policier et de 56 euros pour un médecin.

Le policier avait accédé à des données de santé concernant son épouse et des membres de sa famille par l’intermédiaire du médecin.

Le jugement en « procédure accélérée » ne précise pas d’où venait la plainte qui l’a déclenchée. Les mêmes conclusions s’appliquent. Si dans le cas précédent, il y avait excès de zèle, ici il s’agit de graves manquements déontologiques. En toute logique la suite sera des mesures disciplinaires bien plus graves que les seules amendes.

 

Le respect du RGPD est l’affaire de tous et ne s’arrête pas à la seule rédaction du registre de traitement.

Nous le répétons à tous nos clients, la conformité au RGPD est semblable à la démarche qualité. C’est un processus en continu à tous les échelons de l’entreprise, qu’il faut en permanence revoir et ajuster.

0

Non classé, RGPD en Europe

Les amendes liées au RGPD sont lourdes, en moyenne plusieurs de dizaines de milliers d’euros.

458,319,908.00 €

Tel est le montant total des amendes infligées à la fin février 2020 par les différentes autorités de contrôles européennes et liées à des manquements au Règlement Général sur la Protection des Données (RGPD). Il ne s’agit que des peines prononcées et rendues publiques.

Ce total comporte quelques “super-amendes” au-dessus du million d’euros pour un total de 449M

– Royaume-Uni: British Airways (204,6M), Marriott (110,4M)  
– France: Google (50M)
– Italie: TIM (27,8M) et ENI (2 amendes, 11,5M) 
– Allemagne: Deutsche Wohnen (14,5M), 1&1 Telecom GMBH (9,6M)
– Autriche: la poste Autrichienne (18M), ) 
– Bulgarie: l’Agence Nationale du Revenu (2,6M)

Cela laisse quand même pour les 162 autres amendes, 12M avec une moyenne par peine de 74k €.

En tête du palmarès du nombre, l’Espagne avec 49 sanctions et une moyenne de 35k €. Rappelons que le budget de l’autorité de contrôle espagnole est financé par les peines infligées.

Suit la Roumanie avec 22 amendes pour une moyenne de 22k €. 

La France se place ex-aequo avec la Pologne et l’Italie avec 5 sanctions.

Il ne s’agit que de condamnations publiques, rappelons-le. La CNIL procède à de nombreux contrôles et a toute latitude pour communiquer ou pas à ce sujet.

https://www.enforcementtracker.com

0

Non classé, RGPD en Europe
Évitez une condamnation à cause du RGPD !  Analysez les amendes rendues publiques et faites un plan d’action.

Le non-respect des art. 5 & 6 du RGPD arrive en tête (64%). Ce sont les fondements mêmes du RGPD. Ils traitent des principes des traitements de données et de leur licéité. Ceci confirme l’importance d’une analyse poussée de chaque traitement, en particulier d’en déterminer finalité et base légale.

Les articles 31-33 qui couvrent la sécurité des données ne représentent que 18% des pénalités. L’erreur souvent commise est de croire que le RGPD est un sujet « informatique » relevant de la seule DSI.

C’est nécessaire mais non suffisant.

Les données physiques sont aussi concernées. Tel professionnel avait anti-virus, firewall, mots de passe robustes etc. mais laissait ses dossiers clients nominatifs parfaitement visibles.

L’exercice des différents droits confirmés par le RGPD (articles 12 à 15) couvre 12% des condamnations.

Les contrôles se sont donc concentrés, à 94%, sur :

– Le respect des fondements du RGPD
– La sécurité des données
– Le respect des droits des personnes

La feuille de route de toute mise en conformité est ainsi clairement définie.
0