Le GDRP est entré en vigueur il y a plus de six mois, mais les régulateurs n'ont commencé à écrire les premières «lettres de bonheur» que récemment. Le matériel concerne les entreprises qui les ont déjà reçues.
/ photo Kiefer CC BY-SADémarrage progressif GDPR
Le RGPD est
entré en vigueur le 25 mai 2018 . À cette époque, toutes les organisations qui stockent et traitent les données personnelles des résidents de l'Union européenne devaient mettre à jour les accords d'utilisation et mettre tous les processus de travail en conformité avec les exigences de la réglementation. Pour non-respect des exigences, une amende a été infligée à hauteur de vingt millions d'euros, soit quatre pour cent du chiffre d'affaires annuel de la société incriminée.
Mais toutes les entreprises n'ont pas traité la réglementation avec toute l'attention voulue. Selon une étude réalisée par des analystes du Ponemon Institute, plus de la moitié des organisations européennes et américaines
n'ont pas respecté toutes les exigences de délai GDPR. Par conséquent, de nombreuses publications importantes, dont
The Verge , ont suggéré que les régulateurs européens procéderaient à un «lancement en douceur» de la nouvelle loi. Autrement dit, pendant un certain temps, ils n'amèneront pas d'amende aux contrevenants, considérant les sanctions financières en dernier recours.
Dans l'ensemble, cela s'est produit; même de grandes entreprises comme Facebook et Google n'ont pas été punies. Des plaintes ont été déposées le premier jour du règlement. Puis le procès
intenté par un avocat et combattant australien pour la protection des données Max Schrems (Max Schrems). Shrems a affirmé que les entreprises obligent les utilisateurs à consentir au traitement des données personnelles sous la menace de restreindre l'accès aux services. Et bien que l'affaire soit
toujours en cours d'examen ,
il est possible qu'en fin de compte les charges soient abandonnées.
Qui a néanmoins reçu des amendes
Quelques mois après l'entrée en vigueur du RGPD, les régulateurs européens ont resserré leur approche des entreprises. En novembre, le régulateur de la région allemande du Bade-Wurtemberg (LfDI) a infligé une amende à l'application Chat pour sortir avec Knuddels. Cette affaire a été la première sanction infligée au RGPD en Allemagne.
En septembre, le service a découvert un «fossé» à travers lequel les identifiants et les mots de passe de 330 000 utilisateurs se sont
infiltrés dans le réseau . Il s'est avéré que toutes les données personnelles étaient stockées sous forme de fichiers texte non cryptés. Le régulateur allemand a infligé une amende de 20 000 euros à la société. Le montant
était relativement faible , car Knuddles a rapidement signalé la fuite et a accepté d'introduire des mesures de sécurité supplémentaires.
/ photo Stock Catalogue CC BYUne autre sanction sur le RGPD, connue en septembre, a été
infligée par la Commission portugaise de protection des données (CNPD). Il a reçu l'un des hôpitaux du Portugal. Une vulnérabilité a été découverte dans son système de stockage de dossiers médicaux qui lui a permis d'accéder aux données des patients à l'aide de faux profils d'employés. 985 comptes enregistrés ont été trouvés dans le système, bien que seulement 296 médecins aient travaillé à l'hôpital. L'institution médicale a dû payer 400 mille euros.
La première amende maximale a été infligée pour violation des exigences du RGPD. Le régulateur britannique a
ordonné à la société de conseil canadienne AggregateIQ de payer vingt millions d'euros pour la collecte et le traitement illégaux de données auprès des utilisateurs des réseaux sociaux pour mener des campagnes ciblées. Maintenant, AggregateIQ tente de contester l'amende, mais l'entreprise devra probablement encore se séparer de son argent.
Qui d'autre peut obtenir une amende
Jusqu'à présent, les amendes infligées pour violation des exigences du RGPD restent assez faibles (à l'exception de la situation avec AggregateIQ), par rapport à la sanction maximale pour non-respect des exigences du RGPD. Cependant, l'expert en protection des données et auteur d'ouvrages sur la sécurité des informations, Guy Bunker, estime que la loi "fera toujours ses preuves". Les fuites de données se produisent presque quotidiennement, donc Bunker
pense que les amendes augmenteront considérablement dans un avenir proche.
Benjamin Ellis, consultant en sécurité de l'information, est d'accord avec lui. Selon lui, alors que les régulateurs étaient prêts à aider les entreprises à "combler les lacunes" en matière de sécurité et n'appliquaient pratiquement pas de sanctions. Mais Ellis pense qu'en 2019, les contrevenants aux règles seront traités plus sévèrement.
L'une des premières "grandes victimes du RGPD" de l'année à venir
pourrait être Microsoft . Le géant de l'informatique a été accusé d'avoir violé le stockage des données des utilisateurs - adresses IP et en-têtes des e-mails transférés - applications Office. Dans le même temps, certaines de ces données sont tombées sur des serveurs situés aux États-Unis (et non en Europe, comme l'exige le RGPD), et les utilisateurs n'ont été avertis de la collecte d'aucune télémétrie.
Une autre grosse amende dans un proche avenir
menace Facebook. En septembre, le réseau social a été piraté - des attaquants ont volé les données personnelles de 50 millions d'utilisateurs. Désormais, les régulateurs européens enquêtent et tentent de déterminer si la négligence de Facebook a provoqué la fuite et dans quelle mesure les citoyens européens ont été touchés par le vol de données. Facebook pourrait devoir payer jusqu'à quatre milliards de dollars.
On peut supposer que l'année prochaine, il y aura de plus en plus d'amendes pour les violations du traitement des données personnelles des utilisateurs en Europe. «Oil in the fire» ajoutera le règlement ePrivacy, qui devrait commencer à fonctionner en 2019.
Il renforcera encore les règles de travail avec les cookies et ajoutera un casse-tête aux entreprises informatiques. Et les amendes pour non-respect de ses exigences sont également élevées: de 2 à 4% du chiffre d'affaires annuel de l'entreprise coupable soit 10 millions d'euros.
Contenu lié au PS du premier blog d'entreprise IaaS:
PPS Notre chaîne Telegram sur les technologies IaaS: