Nous indiquons qui les régulateurs ont puni, comment et ce que cela peut affecter.
/ photo Marco Verch CC BYLe RGPD est entré en vigueur il y a plus d'un an. Pendant ce temps, la Commission européenne a
prononcé près d'une centaine d'amendes - le montant total dépassait des dizaines de millions d'euros. Nous en avons parlé la
dernière fois .
Aujourd'hui, nous continuons sur le sujet - nous parlons de nouvelles «lettres de bonheur» et nous discutons de l'impact du règlement général sur la protection des données sur la réglementation dans d'autres pays.
Nouvelles amendes
Fait intéressant, l'un des plus récents a été rédigé par IDdesign, une entreprise de vente de meubles. L'organisation a violé l'exigence du
cinquième article du RGPD . Il indique qu'il est possible de stocker les données personnelles des utilisateurs plus longtemps que les objectifs de traitement l'exigent. IDdesign n'a pas supprimé 385 000 clients en temps opportun. Cette fonctionnalité n'a pas été implémentée dans le nouveau système CRM de l'entreprise. En conséquence, le magasin de meubles a
reçu l'amende la plus importante que le régulateur danois ait prononcée depuis l'entrée en vigueur du RGPD - 200 000 euros.
Le service de paiement MisterTango a été puni pour une violation similaire en Lituanie. L'entreprise n'a pas supprimé les données personnelles des clients lorsque le besoin de leur traitement a disparu. De plus, les employés de la société n’ont pas informé le régulateur de l’incident de l’année dernière, lorsque des informations sur 9 000 transactions de paiement sont apparues par accident dans le domaine public. Monsieur Tango a été
condamné à payer 61 mille euros.
En Allemagne, la société de transport Kolibri Image a reçu une amende. Elle a été
condamnée à payer 5 000 euros pour une violation liée à une erreur dans la préparation de la documentation. Une autre amende de 2 000 euros a
été infligée à un particulier. L'utilisateur a envoyé un e-mail à un grand nombre de destinataires, en définissant son type sur CC (copie) et non sur BCC (copie carbone invisible). En conséquence, d'autres destinataires ont vu l'adresse e-mail. Cette situation a été considérée comme une fuite de données personnelles.
Soit dit en passant, une violation similaire a été
enregistrée au Royaume-Uni quelques années plus tôt. Seulement dans ce cas, une amende (d'un montant de 180 000 livres) a été reçue par la clinique pour les patients VIH. Ensuite, l'amende a été émise conformément à la directive sur la protection des données, qui a été remplacée par le RGPD. On
pense qu'avec une organisation du RGPD, il faudrait faire un chèque d'un montant beaucoup plus élevé.
Le RGPD est-il efficace
Les représentants de la Commission européenne estiment qu'au cours de l'année écoulée, le RGPD a prouvé son efficacité. Selon eux, la réglementation a permis d'attirer l'attention des utilisateurs sur le problème de la sécurité des données. Par exemple, le nombre de demandes enregistrées par le régulateur britannique
a presque doublé au cours de la dernière année, passant de 21 000 à 41 000.
Mais dans l'industrie informatique, il y a une opinion que le RGPD vient de créer un autre marché pour les cabinets d'avocats et les consultants. Selon Bjørn Stormorken, directeur financier de la plate-forme sociale suédoise Idka AB, l'objectif principal que les entreprises poursuivent dans le nouvel environnement n'est pas la sécurité des données. C'est la volonté de répondre aux exigences du RGPD avec un coût minimal.
Certains régulateurs ne sont pas pressés de punir les contrevenants. Une dizaine de pays de l'Union européenne n'ont pas rédigé une seule amende sur le RGPD. Parmi eux, la Belgique, la Croatie, la République tchèque, la Finlande, l'Espagne, etc. Certains États se sont limités à des sanctions relativement faibles. En Lettonie, la récupération maximale à ce jour est de 2 000 euros et en Bulgarie - 5 000 euros.
Bien que les experts disent qu'à l'avenir, nous pouvons nous attendre à une forte augmentation du nombre d'amendes et de leur taille. L'Irlande étudie déjà les affaires de plusieurs grandes sociétés informatiques américaines. Probablement, des décisions positives seront prises à leur sujet.
Impact du RGPD en dehors de l'UE
De nombreux États ont suivi les traces du RGPD, après avoir élaboré leurs lois sur la protection des données. L'année dernière, un projet de loi a été déposé en Inde. Les auteurs disent que le document a été préparé en tenant compte des particularités de la réglementation informatique dans le pays, mais une expérience étrangère a également été introduite. Un autre exemple est le CCPA, qui a été approuvé en Californie. Nous avons parlé de ces deux projets de loi dans notre blog -
ici et
ici .
/ photo Alexander Gerst CC BY-SAUne loi similaire au RGPD a décidé d'introduire la Chine - sa version finale a été
présentée plus tôt cette année. Les auteurs de la loi eux-mêmes
disent qu'elle a été créée «sur la base» du RGPD. Son objectif est de donner au peuple chinois plus de contrôle sur ses données personnelles.
Les régulateurs chinois ont déjà commencé à évaluer "l'étendue du problème". Depuis janvier, ils vérifient les applications de smartphones populaires et vérifient s'ils collectent des informations supplémentaires sur les utilisateurs. Les contrôles concernaient les services de livraison de nourriture, les taxis et les navigateurs.
Certains estiment que la nouvelle loi aboutira à un dénominateur commun de 200 autres réglementations liées à la cybersécurité. Cependant, le professeur Qi Aimic de l'Université de Chongqing a néanmoins
noté que le nouveau projet de loi ne devrait pas copier le RGPD, car la Chine compte plus d'utilisateurs d'Internet et l'une des économies numériques les plus développées au monde.
Le temps nous dira comment le projet de loi chinois se manifestera et quel impact il aura sur la communauté mondiale. Une loi très similaire au chinois a déjà été préparée au Vietnam. Et en Tanzanie, ils travaillent en étroite collaboration avec les législateurs chinois en charge du cyberespace.
De quoi parlons-nous dans notre chaîne Telegram:
Autres documents sur la régulation PD dans notre blog: