Blog

Le principal outil de suivi des amendes du RGPD – Une liste permanente et actualisée des mesures d’application de la loi jusqu’à ce jour

Alpin est maintenant CoreView.

En 2018, les mesures d’application du RGPD ont commencé à se répercuter sur les diverses agences de protection des données de l’UE. Nous voulons donner aux gens un moyen de savoir qui a été condamné à une amende, quand et pourquoi. Cette liste se concentre sur les amendes majeures d’au moins 100 000 €.

En avons-nous manqué une ? Faites-le nous savoir à info@alpin.io.

Nombre d’amendes majeures du RGPD :

  • 2019 : 27
  • 2018 : 1
  • Total : 28

Amendes majeures du RGPD en euros (approximatif en raison de la conversion des devises) :

  • 2019 : 428 545 407 €
  • 2018 : 400 000 €
  • Total : 428 945 407 €

Dernière mise à jour : 17 décembre 2019.

Amendes majeures du RGPD en 2019

Décembre 2019

Allemagne – 1 & 1 Telecom – 9 550 000 €

Les informations personnelles étaient accessibles à toute personne fournissant le nom et les données de naissance d’un client. L’amende aurait été beaucoup plus élevée, mais la société a coopéré étroitement avec les organismes de règlementation, afin de résoudre rapidement le problème.

Allemagne – Hôpital de Rhénanie-Palatinat – 105 000 €

Un hôpital sans nom a envoyé des factures aux mauvais patients, exposant les informations personnelles d’autres patients.

Novembre 2019

Pays-Bas – Uber – 600 000 €

En 2016, une atteinte à la protection des données concernant 57 millions d’utilisateurs d’Uber, dont 174 000 étaient des citoyens néerlandais, n’a pas été signalée dans les 72 heures.

France – Futura Internationale – 500 000 €

Les opérateurs des centres cellulaires ont saisi les données dans un système CRM. Certains de ces opérateurs étaient situés en dehors de l’UE, de sorte que le stockage de données était illégal dans des pays qui n’assuraient pas un niveau de protection adéquat des données personnelles. Certaines des données concernaient l’état de santé des personnes contactées, et d’autres étaient injurieuses. Par ailleurs, les personnes concernées n’ont pas été informées de l’enregistrement des appels ni d’aucun autre traitement de leurs données personnelles.

Octobre 2019

Pays-Bas – UWV – 900 000 €

Le fournisseur néerlandais de services d’assurance des employés UWV n’a pas appliqué l’authentification multifactorielle lorsqu’il a accordé l’accès au portail en ligne de l’employeur, la sécurité a donc été jugée insuffisante.

Allemagne – Deutsche Wohnen – 14 500 000 €

Stockage illégal d’informations personnelles dans un système d’archives n’ayant pas la possibilité de supprimer les anciennes données. Le système contenait des informations de nature délicate sur les locataires anciens et actuels.

Autriche – Poste autrichienne – 18 000 000 €

La Poste autrichienne a vendu des profils personnels détaillés d’environ 3 millions d’Autrichiens à diverses entreprises et partis politiques.

Roumanie – Banque Raiffeisen – 150 000 €

Les employés de la Banque ont envoyé des informations personnelles, sans demander l’autorisation des personnes concernées, à Vreau Credit (qui a également été condamné à une amende de 20 000 €), et n’ont pas évalué les risques de ces actions.

Grèce – Fournisseur de Hellenic Telecommunications, «OTE» – 200 000 € – €200,000

N’a pas supprimé les informations personnelles et a poursuivi le télémarketing après avoir été informé par les consommateurs d’arrêter.

Septembre 2019

Pologne – morele.net – 645 000 € (2 800 000 PLN)

2,2 millions de personnes ont eu accès à leurs informations personnelles, car elles étaient mal protégées.

Allemagne – Delivery Hero – 195 407 €

La société n’a pas supprimé les informations des clients inactifs et a continué d’envoyer des courriels publicitaires non sollicités.

Août 2019

Bulgarie – Agence nationale du revenu – 2 600 000 € (5 100 000 BGN)

Les dossiers de 6 millions de personnes ont été consultés lors d’une atteinte à la sécurité.

Bulgarie – Banque DSK – 500 000 € (1 000 000 BGN)

Des dizaines de milliers de dossiers de clients bancaires ont été volés en raison d’une mauvaise conception du système et d’une mauvaise exécution des processus.

Juillet 2019

Grèce – Pricewaterhouse Coopers (PwC) – 150 000 €

PWC a demandé à ses employés de signer un consentement général pour que PWC puisse traiter leurs données. L’organisme de réglementation a déterminé qu’il y avait un déséquilibre de pouvoir dans la relation employeur-employé et que le consentement n’était donc pas exécutoire. En outre, l’organisme de réglementation a déterminé que la société avait donné la fausse impression qu’elle traitait les données légalement.

France – Active Assurances – 180 000 €

Informations personnelles divulguées en raison d’une sécurité médiocre. Un client a découvert que les données personnelles d’autres clients, y compris leurs permis de conduire, leur carte d’immatriculation et leur relevé d’identification bancaire, pouvaient être consultées en modifiant simplement les chiffres à la fin de l’URL.

Royaume-Uni – Marriott – 123 000 000 € (99 000 000 £)

Après l’acquisition de son concurrent Starwood, Marriott a découvert que la base de données centrale de réservation de Starwood avait été piratée. Cela comprenait 5 millions de mots de passe non cryptés et 8 millions de relevés de cartes de crédit. Le piratage s’est poursuivi de 2014 à 2018. L’infraction a touché 30 millions de résidents de l’UE.

Royaume-Uni – British Airways – 204 600 000 € (183 000 000 £)

À la suite d’une attaque contre le site Web de British Airways, environ 500 000 dossiers de clients ont été extraits par un tiers malveillant. L’agence britannique de protection des données affirme que le site Web de BA a été compromis, en raison de piètres dispositions en matière de cybersécurité. Il s’agirait de l’amende la plus élevée jamais infligée dans le cadre du RGPD à ce jour.

Juin 2019

Roumanie – BANQUE UNICREDIT – 130 000 € (613 912 RON)

Informations personnelles révélées, telles que le numéro d’identification national et l’adresse postale des émetteurs de paiement aux destinataires du paiement. 337 042 personnes ont été touchées entre février et décembre 2018.

Pays-Bas – Hôpital de Haga – 460 000 €

Un hôpital néerlandais a été condamné à une amende pour des contrôles laxistes sur l’enregistrement et l’accès aux dossiers des patients. Dans un cas, 197 employés ont accédé au dossier médical d’une célébrité néerlandaise.

Espagne – La Liga – 250 000 €

La ligue de football a été accusée d’écoute de piratage via son application pour smartphone. La Liga a activé les microphones des utilisateurs, afin d’écouter les sons du match de football et de les associer à n’importe quel flux piraté en utilisant la géolocalisation. La Liga a utilisé ces informations pour poursuivre 600 bars pour piratage de matchs de football.

Danemark – IDdesign – 180 000 € (1 500 000 DKK)

N’a pas supprimé les informations personnelles de 385 500 clients inactifs.

Mai 2019

France – Sergic – 400 000 €

Le site Web de la société immobilière permettait facilement d’accéder aux informations d’autres personnes en modifiant l’URL, en mettant à disposition les cartes d’identité, les avis d’imposition et autres documents importants. L’absence d’authentification des utilisateurs a entraîné l’amende.

Norvège – municipalité de Bergen – 170 000 € (1 700 000 NOK)

Les données personnelles de 35 000 comptes d’étudiants ont été volées, même après l’envoi d’avertissements à l’organisation.

Avril 2019

Norvège – Département de l’éducation municipale d’Oslo – 200 000 € (2 000 000 NOK)

Les informations de 63 000 étudiants ont été exposées dans une application mobile qui n’a pas été conçue ou testée pour sécuriser les renseignements personnels.

Mars 2019

Pologne – Bisnode – 220 000 € (943 000 PLN)

Ce traitement de données a été condamné à une amende parce qu’il a cherché des contacts publics sur Internet, accumulant des données sur 6 millions de personnes. Il n’a pas informé ces personnes que leurs données seraient traitées, et la société a mené une campagne commerciale auprès de plus de 90 000 personnes, dont 12 000 se sont opposées à une utilisation non autorisée de leurs données.

Danemark – Taxa 4X35 – 160 000 € (1 200 000 DKK)

À la suite d’un audit aléatoire, il a été constaté que cet opérateur de taxi détenait plus de 9 millions de dossiers personnels que la société avait conservés inutilement. L’amende a été infligée à la suite d’un manquement à l’obligation de supprimer ces coordonnées inutilisées.

Janvier 2019

France – Google – 50 000 000 €

Google s’est vu infliger une amende par l’autorité français de contrôle des données, invoquant un manque de transparence et de consentement dans la personnalisation de la publicité, y compris une option pré-vérifiée pour personnaliser les annonces.

 
Amendes majeures du RGPD en 2018

Décembre 2018

Portugal – Hôpital près de Lisbonne – 400 000 €

Le personnel de l’hôpital a utilisé de faux comptes pour accéder aux dossiers des patients.

Octobre 2018

Autriche – petite entreprise locale – 4800 €

Nous incluons cette petite amende, puisqu’il s’agissait de la première. Une entreprise locale avait une caméra de vidéosurveillance capturant trop d’espace public.

Alpin aide les entreprises à découvrir et à gérer leurs fournisseurs SaaS. Dans le cadre de cet effort, nous nous efforçons de suivre l’état de conformité au RGPD d’un grand nombre de fournisseurs, afin que vous puissiez constater si votre fournisseur est conforme. Et nous restons également à jour sur les nouvelles du RGPD.