56 millions d'euros d'amendes - résultats de l'année avec le RGPD

Publication de données sur le montant total des amendes pour violation de la réglementation.

/ photo Bankenverband PD

Qui a publié le rapport des amendes

Le règlement général sur la protection des données ne sera exécuté qu'un an en mai - cependant, les régulateurs européens ont déjà résumé les résultats intermédiaires. En février 2019, le Conseil européen de la protection des données (EDPB), l'organisme qui contrôle le respect du règlement, a publié le rapport de résultats du RGPD.

Les premières amendes du RGPD ont été faibles, car les entreprises n'étaient pas prêtes à appliquer le règlement. Fondamentalement, les contrevenants à la réglementation n'ont pas payé plus de plusieurs centaines de milliers d'euros. Cependant, le montant total des sanctions s'est avéré assez impressionnant - près de 56 millions d'euros. Dans le rapport de l'EDPB, il a également fourni d'autres informations sur la «relation» des entreprises informatiques et de leurs clients.

Ce que dit le document et qui a déjà payé l'amende

Pendant le règlement, les autorités réglementaires européennes ont ouvert environ 206 000 cas de violation de la sécurité des données personnelles. Près de la moitié d'entre eux (94 622) - sur des plaintes de particuliers. Les citoyens de l'UE peuvent rédiger une déclaration sur les violations dans le traitement et le stockage de leurs données personnelles et contacter les autorités réglementaires nationales, après quoi l'affaire sera examinée dans la juridiction d'un pays particulier.

Les principaux sujets avec lesquels les plaintes des Européens étaient liées sont la violation des droits du sujet PD et des droits des consommateurs, ainsi que la fuite de données personnelles.

64 864 autres dossiers ont été ouverts suite à la notification d'une fuite de données des sociétés responsables de l'incident. On ne sait pas exactement combien d'affaires ont abouti à des amendes, mais au total, les contrevenants ont payé 56 millions d'euros. Selon les experts en sécurité de l'information, la majeure partie de ce montant devra être payée par Google. En janvier 2019, l'autorité de régulation française CNIL a infligé une amende de 50 millions d'euros au géant de l'informatique.

Le procès dans cette affaire a duré le premier jour du RGPD - un combattant autrichien de la protection des données Max Schrems a déposé une plainte contre la société. L'insatisfaction du militant a été causée par une formulation insuffisamment précise dans le consentement au traitement des données personnelles que les utilisateurs acceptent lors de la création d'un compte à partir d'appareils Android.

Avant le géant de l'informatique, les amendes pour non-respect du RGPD étaient nettement inférieures. En septembre 2018, un hôpital portugais a payé 400000 € pour la vulnérabilité du système de stockage du miel. records et 20 000 € - une application de chat en allemand (les identifiants et les mots de passe des clients étaient stockés sous forme non cryptée).

Ce que les experts disent des réglementations

Les régulateurs estiment que le RGPD s'est révélé efficace en neuf mois. Selon eux, le règlement a permis d'attirer l'attention des utilisateurs sur la question de la sécurité de leurs propres données.

Les experts soulignent également certaines des lacunes qui sont devenues visibles au cours de la première année du règlement. Le plus important d'entre eux est l'absence d'un système unifié pour déterminer le montant des amendes. Selon les avocats, l'absence de règles généralement acceptées conduit à un grand nombre de recours. Les plaintes doivent être traitées par les commissions de protection des données, c'est pourquoi les autorités sont obligées de consacrer moins de temps à faire appel aux citoyens de l'UE.

Pour résoudre ce problème, les régulateurs du Royaume-Uni, de la Norvège et des Pays-Bas développent déjà des règles pour déterminer le montant de la sanction. Le document compilera les facteurs affectant le montant de l'amende: la durée de l'incident, la rapidité de réponse de l'entreprise, le nombre de victimes de la fuite.


/ photo Bankenverband CC BY-ND

Et ensuite

Les experts estiment qu'il est trop tôt pour que les entreprises informatiques se détendent. Très probablement, à l'avenir, les amendes pour non-respect du RGPD augmenteront.

La première raison est les fuites de données fréquentes. Selon les statistiques des Pays-Bas, où des violations du stockage de PD ont été signalées avant le RGPD, en 2018, le nombre de notifications de fuites a doublé. Selon l'expert en protection des données Guy Bunker, de nouvelles violations du RGPD sont connues presque quotidiennement, et donc dans un proche avenir, les régulateurs deviendront plus sévères envers les entreprises incriminées.

La deuxième raison est la fin de l'approche «douce». En 2018, les amendes étaient une mesure extrême - principalement les régulateurs cherchaient à aider les entreprises à protéger les données des clients. Cependant, plusieurs affaires sont déjà en instance en Europe, ce qui pourrait entraîner de lourdes amendes pour le RGPD.

En septembre 2018, une fuite massive de données s'est produite à British Airways. En raison des vulnérabilités du système de paiement de la compagnie aérienne, les pirates ont eu accès aux informations de carte de crédit des clients pendant quinze jours. Selon les estimations, 400 000 particuliers auraient été victimes de piratage. Les experts en sécurité de l'information s'attendent à ce que la compagnie aérienne paie la première amende maximale au Royaume-Uni - ce sera 20 millions d'euros ou 4% du chiffre d'affaires annuel de la société (selon le montant le plus élevé).

Facebook est un autre candidat à une sanction financière majeure. La Commission irlandaise de protection des données a ouvert dix affaires contre le géant de l'informatique en raison de diverses violations du RGPD. Le plus grand d'entre eux s'est produit en septembre dernier - une vulnérabilité dans l'infrastructure du réseau social a permis aux pirates d'obtenir des jetons pour une connexion automatique au système. 50 millions d'utilisateurs de Facebook ont ​​été touchés par le piratage, dont 5 millions de résidents de l'UE. Selon ZDNet, cette fuite de données à elle seule pourrait coûter des milliards de dollars à une entreprise.

En conséquence, il vaut la peine d'être préparé au fait qu'en 2019, le RGPD montrera sa force et que les autorités réglementaires cesseront de «fermer les yeux» sur les violations. Très probablement, il n'y aura à l'avenir que des cas plus connus de violations des règles.

---

Messages du premier blog d'entreprise IaaS:

• Ce que vous devez savoir sur PCI DSS: un aperçu de la norme
• Effet GDPR: comment la nouvelle réglementation a affecté l'écosystème informatique
• Réglementation du travail avec les données personnelles en Russie et en Europe

De quoi parlons-nous dans notre chaîne Telegram :

• Qui soutient les projets cloud - parlez de quatre fonds open source
• Comment gérer le matériel dans un centre de données - deux nouvelles technologies
• Pourquoi les disques durs sont-ils moins susceptibles de se casser?