RGPD : LES PREMIÈRES SANCTIONS

Publié par le dans , , | Consulté 3 349 Fois

Le Règlement Général sur la Protection des Données est un règlement de l’Union européenne constituant le texte de référence en matière de protection des données à caractère personnel. Ce règlement, entré en application le 25 mai 2018, renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

Il est d’application directe afin d’éviter les différences d’interprétation.

La réglementation s’applique « à toute organisation qui traite des données personnelles ». Les sanctions encourues en cas de non-respect de ces nouvelles obligations en matière de traitement de données peuvent aller jusqu’à 20 millions d’euros dans l’hypothèse d’un Etat ou 4% du chiffre d’affaires annuel mondial total dans l’hypothèse d’une entreprise.

Afin de respecter les obligations du règlement européen et d’éviter une sanction pouvant être très élevée, une technologie appropriée est nécessaire, ainsi que des connaissances juridiques particulières.

Deux premières sanctions ont déjà été subies au Portugal et en Allemagne à la suite de manquements commis postérieurement à l’entrée en application du RGPD. La troisième est française et très récente, datant du 21 janvier 2019. Si jusque-là, des entreprises ne prenaient pas au sérieux cette nouvelle réglementation, ils voient désormais que les sanctions sont réelles et que le RGPD doit être respecté, ce qui devraient les faire s’intéresser plus sérieusement aux solutions pour s’y conformer, sachant que des scandales liés aux données personnelles peuvent également entacher leur image de marque.

La 1ère sanction : un hôpital portugais

Le CNPD (Comissão Nacional de Proteção de Dados), homologue portugais de la CNIL (Commission Nationale de l’Informatique et des Libertés), a prononcé à l’encontre de l’Hôpital Barreiro-Montijo une amende de 400 000 euros pour non-respect du RGPD.

Cette amende est la première sanction financière prise depuis l’entrée en application du RGPD.

Une inspection a été réalisée en juin 2018 dans cet hôpital à la suite d’une alerte émise par l’ordre des médecins concernant de nombreuses non-conformités. Le CNPD a alors constaté que les exigences de la réglementation européenne n’étaient pas respectées par la politique d’accès aux bases de données des patients de l’hôpital.

Divers manquements ont été relevés.

Tout d’abord, plusieurs personnels administratifs utilisaient des accès réservés en principe aux médecins.

De plus, le nombre de médecins ayant des habilitations pour accéder au dossier médical des patients était de 985, alors que l’établissement ne comprenait pourtant que 296 médecins en poste. Cet écart important serait expliqué par la présence de vacataires alors que les comptes de ces médecins temporaires ayant quitté l’établissement demeurent toujours actifs.

Enfin, une faiblesse dans la gestion des comptes concernant l’habilitation et la gestion des profils a été révélée à l’occasion de la création d’un compte test par les services de l’autorité de contrôle portugaise qui a alors pu avoir accès aux données de patients du centre hospitalier.

Trois infractions au RGPD ont alors été reconnues par le CNPD : « la violation des principes d’intégrité et de confidentialité des données, la violation du principe de limitation d’accès aux données et l’incapacité pour le responsable du traitement des données à garantir l’intégrité des données ». Il est possible de retrouver ces principes aux articles 5 paragraphe 1 c) et f), 25 et 32 du règlement. Pour ces manquements graves, l’autorité de contrôle a infligé différentes amendes à l’établissement de soins pour un montant total de 400 000 euros. En effet, en se fondant sur l’article 83 du RGPD, le régulateur a infligé 150 000 euros d’amende pour chacune des deux premières infractions, et 100 000 euros pour la troisième.

Le Centre Hospitalier a annoncé avoir interjeté appel de cette décision.

Celui-ci avait tenté d’échapper à sa responsabilité en invoquant le fait que « le ministère de la santé portugais fixait les règles relatives aux données de santé ». Il a de plus invoqué « l’absence de transposition du RGPD dans la loi nationale », puis « l’absence de moyens informatiques dont dispose l’hôpital pour gérer le système d’habilitation ». Cependant, comme indiqué précédemment, un règlement européen est d’application directe sur tout le territoire de l’Union européenne, il n’ait nul besoin qu’il soit transposé. De plus, lors du contrôle effectué par le CNPD, il est apparu que « l’outil informatique de l’établissement permettait une parfaite gestion des habilitations ».

La 2nde sanction : un réseau social allemand

En novembre 2018, le site de réseau social allemand Knuddels a été condamné à 20 000 euros d’amende par Stefan Brink, le Commissaire à la Protection des Données et à la Liberté d’Information du Länder allemand Baden-Württemberg, l’équivalent de la CNIL dans ce land transfrontalier de l’Alsace, et ce pour avoir méconnu l’article 32 paragraphe 1 du RGPD sur la sécurité du traitement. Le montant de l’amende est bien moins important que celui prononcé à l’encontre de l’hôpital portugais et semble modeste en comparaison du maximum possible, mais cela s’explique par le fait qu’ont été prises en compte la transparence, la collaboration ainsi que la rapidité à implémenter les mises à jour de sécurité de Knuddels suite à la violation de son obligation de garantir la sécurité des données à caractère personnel.

Le réseau social stockait des mots de passe non chiffrés, et à la suite d’un hack en juillet 2018, près de 2,7 millions d’informations privées ont été volées et publiées sur Internet au mois de septembre. Parmi elles, on a retrouvé des mots de passe d’utilisateurs, des pseudonymes, des adresses mail ainsi que des informations sur le prénom ou le lieu de résidence.

Après l’attaque, la société s’est adressée à l’autorité de protection des données du Länder allemand afin d’immédiatement tenir informés les autorités et les utilisateurs de la plateforme. Ces derniers ont été invités à changer leur mot de passe, cela étant d’autant plus nécessaire pour ceux utilisant « le même mot de passe ou une variante similaire sur d’autres sites web ».

Et les sanctions en France ?

En France, jusqu’au 21 janvier 2019, il n’y avait pas encore eu de sanction financière infligée par la CNIL au titre du RGPD, les faits de plusieurs affaires datant d’avant mai 2018 lorsque le règlement européen n’était pas encore applicable.

Cependant, en novembre 2018, la CNIL a précisé avoir reçu 1 000 notifications de violations de données en 2018 et que sur les 9 700 plaintes reçues depuis le début de l’année, 6 000 d’entre elles avaient été déposée après l’entrée en vigueur du RGPD, ce qui correspond à une augmentation de 34% par rapport à la même époque en 2017.

En juin 2018, Optical Center a été condamné à 250 000 euros d’amende pour « avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet », méconnaissant l’article 34 de la loi Informatique et Libertés. Il était possible d’accéder aux espaces personnels clients depuis un navigateur internet et ce sans authentification, ce qui rendait accessibles des centaines de factures de clients contenant des données telles que « les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées ». La CNIL avait été informée de cette fuite de données en juillet 2017.

Quant à Uber, la société a été condamnée à 400 000 euros d’amende par la CNIL en décembre 2018 pour « avoir insuffisamment sécurisé les données des utilisateurs de son service de VTC ». Les homologues britannique et néerlandais de la CNIL ont également sanctionné la société pour avoir manqué à son obligation de sécurité des données personnelles et pour avoir manqué à son obligation de notifier la violation de données. En effet, en novembre 2017, Uber a révélé que les données de 57 millions de ses utilisateurs (dont 1,4 millions situés sur le territoire français) avaient été piratées en 2016, les identifiants permettant d’accéder au serveur étant stockés en clair.

Toujours en décembre 2018, Bouygues Telecom a été condamné à 250 000 euros d’amende pour « avoir insuffisamment protégé les données de clients B&You », méconnaissant l’article 34 de la loi Informatique et Libertés. Après avoir eu connaissance en mars 2018 du manquement de la société à son obligation de sécurité des données personnelles, la CNIL a réalisé un contrôle qui a permis de confirmer l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures de clients par la simple modification d’une adresse URL sur le site web de la société, ce qui a impacté les données de plus de 2 millions de clients pendant plus de 2 ans. Cela était dû à un oubli de réactivation de la fonction d’authentification à l’espace client après une phase de test. Bien que la société aurait dû être plus vigilante, elle a rapidement réagi pour résoudre cet incident et limiter ses conséquences, ce qui a été pris en considération par la CNIL.

Le 21 janvier 2019, la CNIL a sanctionné Google d’une amende de 50 millions d’euros, et ce en application du RGPD « pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ». L’instruction de la CNIL a commencé à la suite des plaintes collectives des associations None Of Your Business et La Quadrature du Net les 25 et 28 mai 2018, reprochant à Google « de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité ». Cette amende est la plus importante jamais infligée par la CNIL à une entreprise. Elle devient « la première instance de régulation européenne à sanctionner une grande plateforme du numérique mondial » au titre du RGPD.

Vous retrouverez bientôt dans la prochaine note d’actualité de Sylvain LONGHAIS plus de détails concernant les raisons de cette sanction.

Nous pouvons donc constater une augmentation du nombre de sanctions, ce qui reflète certainement la tendance des temps à venir.

 

SOURCES :

« En brefs… RGPD : les premières sanctions », Revue Lamy Droit de l’immatériel, Numéro 154, Décembre 2018, p.39, consulté le 03 janvier 2019.

« Données personnelles : les plaintes à la Cnil ont augmenté de 34% », WOLTERS KLUWER France, mis en ligne le 23 novembre 2018, consulté le 03 janvier 2019.
 https://www.actualitesdudroit.fr/browse/affaires/immateriel/17883/donnees-personnelles-les-plaintes-a-la-cnil-ont-augmente-de-34

BAÏKOFF S., « Première sanction financière depuis l’entrée en application du RGPD », Lettre du Numérique.com, mis en ligne le 16 novembre 2018, consulté le 03 janvier 2019. https://www.lettredunumerique.com/P-2120-489-A1-premiere-sanction-financiere-depuis-l-entree-en-application-du-rgpd.html

LE CALME S., « RGPD : le réseau social allemand Knuddels.de condamné à payer une amende de 20 000 € », Développez.com, mis en ligne le 23 novembre 2018, consulté le 07 janvier 2019. https://www.developpez.com/actu/234551/RGPD-le-reseau-social-allemand-Knuddels-de-condamne-a-payer-une-amende-de-20-000-pour-avoir-stocke-des-mots-de-passe-en-clair/.

FILIPPONE D., « RGPD : 20 000€ d’amende pour le réseau social allemand Knuddels », Le Monde Informatique.fr, mis en ligne le 23 novembre 2018, consulté le 07 janvier 2019. https://www.lemondeinformatique.fr/actualites/lire-rgpd-20-000eteuro-d-amende-pour-le-reseau-social-allemand-knuddels-73531.html

« OPTICAL CENTER : sanction de 250.000€ pour une atteinte à la sécurité des données des clients du site internet www.optical-center.fr », CNIL.fr, mis en ligne le 07 juin 2018, consulté le 07 janvier 2019. https://www.cnil.fr/fr/optical-center-sanction-de-250000eu-pour-une-atteinte-la-securite-des-donnees-des-clients-du-site

« UBER : sanction de 400.000€ pour une atteinte à la sécurité des données des utilisateurs », CNIL.fr, mis en ligne le 20 décembre 2018, consulté le 07 janvier 2019. https://www.cnil.fr/fr/uber-sanction-de-400000eu-pour-une-atteinte-la-securite-des-donnees-des-utilisateurs

« BOUYGUES TELECOM : sanction pécuniaire pour manquement à la sécurité des données clients », CNIL.fr, mis en ligne le 27 décembre 2018, consulté le 07 janvier 2019. https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients

« La formation restreinte de la CNIL prononce une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC », CNIL.fr, mis en ligne le 21 janvier 2019, consulté le 21 janvier 2019. https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la

« Données personnelles : la CNIL condamne Google à une amende record de 50 millions d’euros », lemonde.fr, mis en ligne le 21 janvier 2019, consulté le 21 janvier 2019.  https://www.lemonde.fr/pixels/article/2019/01/21/donnees-personnelles-la-cnil-condamne-google-a-une-amende-record-de-50-millions-d-euros_5412337_4408996.html?utm_campaign=Lehuit&utm_medium=Social&utm_source=Facebook&fbclid=IwAR35ww1ks7DPyJWtQrs9yyTjkOt_zB05brrJ0uUgJSZ3RTxGV4gGV8vWQsc

Cours de Protection des données personnelles et RGPD de M. Jean FRAYSSINET, 2018.

Règlement n° 2016/679, dit Règlement Général sur la Protection des Données.