1) Amazon 29/07/2021 : 746 millions d’euros au Luxembourg
A la suite de dépôts de plaintes de la quadrature du net, la CNIL dans le cadre du mécanisme européen de coopération et de cohérence a coopéré avec le CNPD (autorité de protection luxembourgeoise). Ce dernier a condamné Amazon à cette amende de 746 millions d’euros pour non-respect de la règlementation européenne sur la protection des données, sans rendre public ses motifs.
C’est en effet cette autorité qui est chef de file concernant les activités d’Amazon, puisque la société a son établissement principal sur son territoire.
Elle avait déjà fait l’objet d’une condamnation par la CNIL en 2020 à hauteur de 35 millions d’euros pour n’avoir pas fourni aux utilisateurs de son site web les moyens de manifester un consentement effectif à l’utilisation de cookies.
2) Whatsapp 02/09/2021 : 225 millions d’euros en Irlande
La 2ème plus grosse amende de 2021 est prise sur les fondements des articles 5, 12, 13 et 14 du RGPD. Le partage des informations entre Whatsapp et Facebook était au cœur de la décision.
Les données personnelles des résidents européens circulaient entre Whatsapp et sa maison-mère Facebook. L’autorité a jugé que ces pratiques ne permettaient pas d’assurer la finalité « d’améliorer l’expérience avec les produits de Facebook ».
Mais c’est aussi le manque d’informations des utilisateurs concernés qui est sanctionné. L’obscurité de l’utilisation des données personnes est jugée ici comme la matérialisation d’un traitement qui n’est pas réalisé de manière licite, loyale et transparente.
3) Google 31/12/2021 : 150 millions d’euros en France
La CNIL condamne ici Google concernant les modalités de refus des cookies sur Google.fr et Youtube.com. En effet, le module cookies de ces sites ne permettait pas un refus des cookies aussi simple que leur acceptation.
Le refus du consentement cookies nécessitait plusieurs clics alors que l’acceptation n’était matérialisée que par l’utilisation du bouton « j’accepte ». De plus, le bouton de refus est situé en bas de fenêtre et peu visible.
La CNIL déclare que ce procédé porte atteinte à la liberté de consentement des internautes, car il contribue à les décourager de refuser les cookies.
L’importance de la sanction est justifiée par l’importance du public et le fait que ces sites profitent des données collectées par les cookies pour générer des profits massifs.
Dastra propose une plateforme complète de gestion du RGPD dont la gestion des cookies. Demandez nous une démo !
4) Facebook 30/12/2021 : 60 millions d’euros en France
La société Facebook est sanctionnée sur le même fondement que Google dans l’affaire précédente. Refuser les cookies ne se fait toujours pas aussi simplement que de les accepter, malgré les nombreux avertissements de la CNIL, à défaut le consentement des internautes est contraint.
5) Notebooksbiliger.de 08/01/2021 : 10,4 millions d’euros en Allemagne
Ici la surveillance vidéo des employés est à l’origine de la sanction. L’entreprise surveillait de manière généralisée ses employés et conservait les enregistrements jusqu’à 60 jours.
Le RGPD n’interdit pas l’utilisation de la vidéosurveillance mais l’encadre strictement. Il est nécessaire pour l’employeur de définir un but légal, légitime, et proportionné (ex : protection des biens et des personnes, identification d’auteurs d’infractions). De plus, il est en principe interdit de filmer certains lieux comme le poste de travail des employés (sauf ceux manipulant de l’argent), ou les locaux de repos.
Enfin, la conservation des images devra être limitée à quelques jours de manière générale, sauf circonstances exceptionnelles.
Ici figuraient dans les zones enregistrées les espaces de travail et la salle du personnel. La société mettait en avant la possibilité de commission d’infractions.
L’autorité de contrôle allemande note qu’un soupçon général ne suffit pas pour mettre en œuvre de tels moyens avant d’utiliser des biais moins attentatoires à la vie privée des salariés.
6) Austrian Post 09/2021 : 9,5 millions d’euros en Autriche
C’est ici le droit à l’information qui est violé par La Poste autrichienne.
Les personnes concernées par les traitements ne parvenaient pas à obtenir communication des données que la société collectait sur chacune d'elles.
Après de premières réclamations, La Poste met en œuvre une possibilité de demande par envoi de lettre, ou par réponse en ligne par l'intermédiaire d’un formulaire ou d’une demande au service clientèle.
L’autorité de protection des données ne juge pas ces moyens suffisant pour garantir un plein exercice du droit et déclare que l’Austrian Post aurait dû permettre que les demandes soient envoyées par tous les moyens, y compris par courrier électronique.
7) Vodafone España : 8,5 millions
L’opérateur téléphonique est sanctionné pour des pratiques commerciales non conformes au RGPD, et plus particulièrement le non-respect du refus d’utilisation de leurs données à des fins publicitaires par les personnes concernées.
De plus, les citoyens exerçant leurs droits d’opposition ou d’effacement de leurs données personnelles recevaient également ces publicités. Un transfert de données vers un pays tiers est également réalisé sans notification aux utilisateurs et à l’autorité de contrôle.
Dastra propose une plateforme complète de gestion du RGPD dont la gestion des droits des personnes. Demandez nous une démo !
8) Grindr 13/12/2021 : 6,3 millions d’euros en Norvège
La sanction du réseau social est prononcé pour collecte et divulgation de données à caractère personnel sans obtention du consentement des internautes.
En effet, dans les CGU de l’entreprise, le [consentement](https://www.dastra.eu/fr/guide/consentement/1494) des utilisateurs était recueilli en bloc, de sorte que l’utilisateur ne pouvait pas refuser certains traitements, comme le partage de données avec des annonceurs.
De plus, l’option pour individualiser les choix de cookies étaient payante, violant ainsi le principe selon lequel le consentement doit être donné librement (considérant 42 RGPD).
Afin de consentir à ce traitement, seuls 2 clics étaient nécessaires alors que pour le refuser il fallait aller désactiver des règlages dans les paramètres de l'application.
Enfin, la sanction est également prononcée pour non clarté des conditions générales, le RGPD à ce que la demande de consentement soit présentée sous une « forme compréhensible et aisément accessible, et formulée en des termes clairs et simples »(article 7-2).
La société a donc révélé à des tiers, intentionnellement et dans un but lucratif, les données personnelles de ses utilisateurs de manière illicite. L’atteinte est d’autant plus grave que ces données révèlent des informations sur la vie et l’orientation sexuelle, qui sont des catégories de données sensibles selon le RGPD.
9) Caixabank S.A. : 6 millions d’euros en Espagne
L’Autorité espagnole prend ici sa plus grosse sanction jamais imposée, à l’encontre de CAIXABANK pour traitement illicite des données personnelles de ses clients et manquement à son obligation d’information.
Sur l’absence de base légale, l’autorité retient que le consentement des personnes était requis comme base légale du traitement, mais que la société n’y a pas procédé. Les activités fondées sur le prétendu intérêt légitime de l’entreprise n’était pas suffisamment justifiées.
Sur le manquement à l’obligation d’information, l’AEPD retient que les informations concernant les finalités et la base juridique du traitement n’ont pas été communiquées de manière assez précise aux clients.
Identifiez facilement vos bases légales avec Dastra ! Venez voir par vous-même !
10) Fastweb 02/04/2021: 4,5 millions d'euros en Italie
L'entreprise de télécommunication est sanctionnée à la suite de centaines de plaintes d'utilisateurs ayant reçus des appels promotionnels sans leur consentement.
L'autorité italienne Garante ordonne à l'entreprise de renforcer ses mesures de sécurité pour empêcher l'utilisation non autorisée de ses bases de données et de cesser d'utiliser des données obtenues par des tiers sans le consentement des utilisateurs pour effectuer du télémarketing.