Le RGPD est bien connu pour ses pénalités coûteuses en cas de violation. Amazon a été célèbrement condamné à une amende de plus de 880 millions de dollars en 2021 pour avoir suivi les données des utilisateurs sans consentement approprié, et Google a payé plusieurs pénalités de violation s'élevant à plus de 200 millions de dollars.

En savoir plus sur les amendes et pénalités du RGPD ci-dessous.

Paliers des amendes et pénalités GDPR

Il existe deux niveaux de pénalités, selon la gravité de la violation. Les violations moins graves peuvent entraîner des amendes allant jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial de l'entreprise pour l'année financière précédente, selon le montant le plus élevé.

Le deuxième niveau de pénalités concerne la violation des principes fondamentaux du RGPD, y compris le droit au consentement, les droits des personnes concernées et les principes du traitement des données. Ces violations peuvent entraîner des amendes allant jusqu'à 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial de l'entreprise pour l'année financière précédente, selon le montant le plus élevé. De plus, les personnes affectées par la violation ont le droit de demander une indemnisation pour les dommages subis.

Combien coûte une amende GDPR ?

Cela dépend. En vertu du RGPD, les amendes sont administrées par l'organisme de protection des données de chaque État membre de l'UE. L'organisme de protection des données déterminera deux choses : premièrement, s'il y a eu une infraction et deuxièmement, la gravité de la pénalité.

Si une enquête révèle plusieurs violations du RGPD, l'organisation ne sera pénalisée que pour la plus grave (tant que toutes les violations font partie de la même opération de traitement).

Pour déterminer si une amende sera infligée et son montant, l'organisme de protection des données utilise les 10 critères suivants :

  • Gravité et nature : Que s'est-il passé ? Comment cela s'est-il produit et pourquoi ? Combien de personnes ont été affectées et quel a été le dommage ? Combien de temps a-t-il fallu pour résoudre ?
  • Intention : L'infraction était-elle intentionnelle ou le résultat d'une négligence ?
  • Atténuation : L'organisation a-t-elle essayé d'atténuer les dommages subis par les personnes affectées par l'infraction ?
  • Mesures de précaution : Quelle préparation technique et organisationnelle l'organisation a-t-elle mise en œuvre pour être conforme au RGPD avant l'infraction ?
  • Historique : Y a-t-il eu des infractions précédentes ?
  • Coopération : L'organisation a-t-elle coopéré avec l'autorité de surveillance pour découvrir et remédier à l'infraction ?
  • Catégorie de données : Quel type de données personnelles l'infraction a-t-elle affecté ?
  • Notification : L'organisation a-t-elle signalé l'infraction de manière proactive à l'autorité de surveillance ?
  • Certification : L'organisation était-elle précédemment certifiée ? Sinon, a-t-elle suivi les codes de conduite approuvés ?
  • Facteurs aggravants/atténuants : Des avantages financiers ont-ils été obtenus ou des pertes évitées à la suite de l'infraction ?

Exemples de violations du RGPD

Depuis l'entrée en vigueur du RGPD en 2018, il y a eu plusieurs exemples de violations ayant fait la une des journaux, notamment les amendes infligées à Amazon et Google.

Voici 10 cas de violations du RGPD avec les amendes les plus élevées imposées et ce que vous pouvez apprendre de chacun d'eux.

1. Amazon - 746 millions d'€

Année d'émission : 2021

Type de pénalité : Non-respect des principes généraux de traitement des données

En 2021, la Commission Nationale pour la Protection des Données (CNPD) du Luxembourg a infligé une amende de 746 millions d'euros à Amazon Europe Core S.a.r.l. pour non-respect des principes généraux de traitement des données. Il reste la plus grande amende imposée par une autorité de protection des données européenne depuis l'entrée en vigueur du RGPD en 2018.

Bien que peu de détails soient accessibles au public, l'amende est très probablement le résultat d'infractions liées au système de ciblage publicitaire d'Amazon.

Leçons à tirer :

  • Obtenir le consentement des consommateurs en utilisant un langage clair et simple et expliquer comment les données vont être utilisées, dans quel but et par qui.

2. Meta - 405 millions d'€

Année d'émission : 2022

Type de pénalité : Non-respect des principes généraux de traitement des données

En 2022, l'Autorité Irlandaise de Protection des Données a infligé une amende record de 405 millions d'euros à Meta pour son traitement des données des enfants sur Instagram. Plus précisément, elle a rendu les comptes des enfants âgés de 13 à 17 ans publics par défaut et a permis aux adolescents avec des comptes professionnels sur Instagram de rendre publics leurs adresses email et numéros de téléphone.

Leçons à tirer :

  • La base légale pour la collecte et le traitement des données personnelles doit être valide — par exemple, vous devez prouver que le traitement des données est nécessaire pour l'exécution d'un contrat.

3. WhatsApp - 225 millions d'€

Année d'émission : 2021

Type de pénalité : Insuffisance de l'accomplissement des obligations d'information

En 2021, l'Autorité Irlandaise de Protection des Données a infligé une amende de 225 millions d'euros à WhatsApp. À l'époque, c'était la plus grande amende infligée par l'Autorité Irlandaise. Dans sa décision, le régulateur a déclaré que WhatsApp n'avait pas fourni suffisamment d'informations sur la manière dont les données étaient collectées "de manière concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple".

Leçons à tirer :

  • Écrire des politiques de confidentialité claires et compréhensibles pour que les utilisateurs comprennent comment leurs données sont traitées.

4. Google LLC et Irlande - 150 millions d'€

Année d'émission : 2021

Type de pénalité : Insuffisance de la base légale pour le traitement des données

L'Autorité Française de Protection des Données (CNIL) a infligé une amende de 150 millions d'euros à Google (90 millions pour Google LLC et 60 millions pour Google Ireland) pour non-respect des règles de consentement aux cookies locales (et pan-européennes). Plus précisément, elle ne facilite pas autant le refus de tous les cookies que leur acceptation sur google.fr et youtube.com.

Leçons à tirer :

  • Présenter l'option pour les utilisateurs de refuser les cookies non essentiels aussi facilement que celle d'accepter tous les cookies.

5. Facebook - 60 millions d'€

Année d'émission : 2021

Type de pénalité : Insuffisance de la base légale pour le traitement des données

En 2021, la CNIL a également infligé une amende de 60 millions d'euros à Facebook pour ne pas avoir fourni aux utilisateurs des méthodes faciles pour refuser les cookies lors de l'utilisation du site Web.

Leçons à tirer :

  • Fournissez un moyen clair pour les utilisateurs de refuser les cookies.

6. Google LLC - 50 M€

Année d'émission : 2019

Type de pénalité : Base juridique insuffisante pour le traitement des données

En 2019, la Commission nationale de l'informatique et des libertés (CNIL) française a infligé une amende de 50 millions d'euros à Google pour des accords de consentement à la confidentialité peu clairs qui n'ont pas obtenu le consentement librement donné des consommateurs pour le ciblage publicitaire. Dans son enquête, la CNIL a constaté que Google n'avait pas agi de manière transparente et fourni des informations de manière accessible à ses utilisateurs, et n'avait aucune base juridique pour le traitement des données de ses utilisateurs afin de fournir des publicités personnalisées.

Leçons à tirer :

  • Rédigez des accords de consentement à la confidentialité qui expliquent clairement comment vous traiterez les données personnelles, y compris à des fins de personnalisation des publicités.

7. H&M - 35 M€

Année d'émission : 2020

Type de pénalité : Base juridique insuffisante pour le traitement des données

L'Autorité de protection des données de Hambourg a infligé une amende de 30 millions d'euros à H&M pour des infractions liées aux employés. L'une des violations les plus notables était l'enregistrement et le stockage de conversations individuelles enregistrées avec des employés et l'utilisation des informations fournies dans ces conversations pour prendre des décisions concernant les employés. Il s'agissait de la plus grande amende imposée par la DPA de Hambourg en vertu du RGPD.

Leçons à tirer :

  • La collecte et le stockage de données personnelles étendues sur la vie personnelle de vos employés est une violation du RGPD et de leurs droits civils.

8. TIM- 27,8 M€

Année d'émission : 2020

Type de pénalité : Base juridique insuffisante pour le traitement des données

En 2020, l'autorité italienne de protection des données a infligé une amende de 27,8 millions d'euros à l'opérateur de télécommunications italien TIM (anciennement connu sous le nom de Telecom Italia) pour une série de violations de la collecte et du traitement des données liées à des campagnes de marketing. Les violations comprenaient l'envoi de communications non sollicitées et de nombreux appels promotionnels à des millions d'individus, y compris ceux des listes de non-contact et d'exclusion.

Leçons à tirer :

  • Créez des opt-ins spécifiques pour différentes activités marketing.
  • Gérez et mettez à jour correctement les listes de blocage.

9. Enel Energia- 26,5 M€

Année d'émission : 2021

Type de pénalité : Base juridique insuffisante pour le traitement des données

L'autorité italienne de protection des données (Garante) a infligé une amende de 26,5 millions d'euros à Enel Energia pour plusieurs violations de la confidentialité des données, y compris des appels promotionnels non sollicités sans le consentement requis des utilisateurs. Enel Energia a également été pénalisé pour ne pas avoir suffisamment coopéré avec le Garante au cours de l'enquête.

Leçons à tirer :

  • Coopérez avec l'autorité de protection des données lors de toute enquête sur d'éventuelles violations du RGPD.

10. British Airways - 22 M€

Année d'émission : 2020

Type de pénalité : Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information

En 2020, British Airways a été condamnée à une amende de 20 millions d'euros par le Bureau du Commissaire à l'information (ICO) pour des mesures techniques et organisationnelles insuffisantes, ce qui a conduit à une violation des données affectant les données personnelles et les données de carte de crédit de plus de 400 000 clients. L'amende a été considérablement réduite par rapport aux 204,6 millions d'euros que l'ICO avait initialement prévu d'infliger en 2019.

Leçons à tirer :

  • Mettez en place des mesures de sécurité adéquates pour garantir la sécurité des données personnelles de vos clients.

FAQ

Quels sont les niveaux d'amendes en vertu du RGPD ?

Il existe deux niveaux d'amendes en vertu du RGPD :

  • Niveau 1 pour les infractions moins graves: Peut entraîner des amendes allant jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial de l'entreprise pour l'exercice financier précédent, selon le montant le plus élevé
  • Niveau 2 pour les infractions plus graves: Peut entraîner des amendes allant jusqu'à 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial de l'entreprise pour l'exercice financier précédent, selon le montant le plus élevé

Quelles sont les amendes contre les individus en vertu du RGPD ?

L'amende maximale pour les individus est la même que celle pour les organisations : jusqu'à 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial total de l'année financière précédente, selon le montant le plus élevé. Vous pouvez trouver des exemples d'amendes contre les individus sur le suivi de l'application du RGPD. Les exemples récents incluent une amende de 5 000 € contre un médecin pour non-respect des principes généraux de traitement des données et une amende de 240 € contre un particulier pour une base légale insuffisante pour le traitement des données.

Quelle est l'infraction la plus courante au RGPD ?

Selon le suivi de l'application du RGPD, les infractions les plus courantes sont l'absence de base légale suffisante pour le traitement des données (520) et le non-respect des principes généraux de traitement des données. Il y a 520 exemples de chaque type d'infraction en novembre 2023. D'autres exemples courants sont :

  • Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations (364)
  • Respect insuffisant des droits des personnes concernées (194)
  • Respect insuffisant des obligations d'information (185)
  • Coopération insuffisante avec l'autorité de contrôle (91)