RGPD et sanctions, ce qu'elles sont et ce que les entreprises risquent : le cas H&M
Il 25 mai 2018 le web a changé une fois pour toutes. Du moins en Europe. Même si beaucoup ne s'en sont pas rendu compte à l'époque, c'est depuis ce jour Le RGPD est entré en vigueur, le règlement voulu par la Commission européenne pour uniformiser les règles relatives au traitement des données des citoyens sur l'ensemble du Vieux Continent (y compris la Suisse). Le RGPD, notamment, transpose, "intègre" et remplace toutes les réglementations nationales sur le traitement des données personnelles et la protection de la vie privée.
Exactement, cependant, ce qui a changé par rapport au passé et ce que les entreprises doivent faire pour éviter d'enfreindre le RGPD ? ET Quelles sont les sanctions pour ceux qui enfreignent le RGPD ? Comprenons tout en analysant un cas pratique.
Qu'est-ce que le RGPD
Acronyme de Règlement Général de Protection des Données, Règlement général sur la protection des données en italien, le RGPD est l'ensemble des règles et réglementations que doivent respecter tous les sujets qui traitent les données des internautes. En particulier, le RGPD traite de la traitement des données personnelles des utilisateurs par les entreprises, leur conservation par ces dernières et la possibilité, pour les utilisateurs eux-mêmes, de pouvoir les gérer de manière simple et immédiate.
RGPD : ce qu'il apporte
Les points clés autour desquels s'articule toute la structure du RGPD sont essentiellement deux :
- Simplifier le cadre réglementaire dans lequel les entreprises évoluent sur le marché de l'Union européenne (et d'autres pays qui ont un traité avec l'UE) ;
- Donner aux utilisateurs un plus grand contrôle sur leurs données, depuis leur acquisition par l'entreprise jusqu'à leur suppression.
Pour que cela soit possible, le RGPD impose aux entreprises que les demandes de consentement soient plus claires et « lisibles » par les utilisateurs ; des limites au traitement et à l'utilisation des données sont établies ; imposition de sanctions aux entreprises qui violent les dispositions de la réglementation sur le traitement des données. Par ailleurs, en cas de violation de données (une perte de données, résultant généralement d'un vol commis par des criminels), le responsable du traitement (un professionnel au sein de l'entreprise, appelé Délégué à la protection des données ) est tenu d'en informer les autorités et les propriétaires légitimes dans les meilleurs délais. Si cela ne se produit pas, le sanctions prévues par le RGPD ils deviendraient encore plus salés.
Mi-2020, une nouveauté est arrivée concernant le Consentement au traitement des données que les entreprises collectent via des outils web. Les deux années précédentes, en effet, il suffisait à l'internaute de faire défiler une partie d'une page web pour considérer le consentement au traitement comme acquis. Un arrêt de la Cour européenne de justice établit que le consentement doit être actif et sans ambiguïté. Cela signifie que l'utilisateur, pour accepter les cookies, doit cliquer sur la bannière pour demander le consentement, en choisissant d'autoriser l'utilisation des cookies techniques strictement nécessaires ou de tous les cookies. Pour cette raison, par exemple, vous voyez de plus en plus souvent la bannière de consentement, même s'il s'agit d'un site que vous visitez fréquemment.
Ce que risquent ceux qui enfreignent le RGPD : les sanctions
Le RGPD prévoit également sanctions assez lourd dans le cas où le traitement des données par une entreprise ne respecte pas les dispositions qui y sont contenues ou est en défaut sur le plan des communications.
Les sanctions sont de deux types, selon la gravité de la violation commise. Pour les violations mineures (telles que l'absence de registre de traitement des données, la non-désignation d'un responsable du traitement, la non-notification de la violation des données), la sanction est jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial s'il est supérieur à ce chiffre. Pour les violations graves (telles que l'absence de consentement au traitement, la violation des droits de l'intéressé, les informations de confidentialité manquantes ou inappropriées et la violation des dispositions relatives au transfert de données), l'amende peut aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial.
Par exemple, Alphabet, la holding qui contrôle Google et toutes les entreprises de l'orbite du géant de Mountain View, réalise un chiffre d'affaires annuel de 46 milliards de dollars et, en cas d'infraction grave, pourrait être contrainte de payer jusqu'à 1,9 amende d'un milliard de dollars.
Sanctions RGPD : l'affaire H&M
La gestion des données et leur protection ne concernent cependant pas uniquement les clients et les utilisateurs du site. Les données des employés doivent également être acquises, traitées et archivées en référence aux dispositions du règlement général sur le traitement des données. Un exemple est H&M, condamné à une amende de plus de 35 millions d'euros parce qu'il a été découvert en train de profiler illégalement ses employés. Une fuite de données a en effet mis au jour un véritable cas d'espionnage interne : depuis au moins 2014, H&M enregistre les données, informations et conversations de ses employés, archivant le tout (sans autorisation) sur des serveurs privés.
Une activité de profilage particulièrement invasive, ce qui a évidemment eu un impact négatif sur la relation de travail entre le géant suédois de la mode et ses employés. L'autorité de protection des données de Hambourg a ainsi infligé à H&M une amende de 35,3 millions d'euros. De son côté, l'entreprise a présenté ses excuses aux employés impliqués dans le scandale, réorganisant radicalement le bureau.
Une sanction qui sert aussi d'avertissement pour toutes les autres entreprises : les autorités étatiques (en l'occurrence l'allemande, mais les sanctions sont les mêmes dans toute l'Union européenne et concernent également les entreprises basées hors des frontières de l'UE) n'autorisent pas les données des violations ou des traitements de données non conformes aux dispositions du RGPD. Toute personne prise en flagrant délit de crime paiera lourdement pour son comportement.
Vous pourriez également être intéressé par :
« Je vends, mais je reste » : la nouvelle tendance du petit entrepreneur
L'histoire de l'entrée de Francesco Schittini et d'Emotec dans le fonds MCP est exemplaire de changements de propriétaires fréquents sans chocs organisationnels
par Alberto NicoliniRédacteur en chef de districtbiomedicale.it, BioMed News et Radio Pico
AI Tools for Businesses, le cours dédié à l'intelligence artificielle
La start-up suisse navAI l'a développé dans le but de fournir tous les outils nécessaires à la mise en œuvre de la nouvelle technologie dans son secteur
Il y avait une porte dérobée pour tous les infecter, mais un génie a sauvé le Web
Voici comment l'expertise d'un développeur, et un peu... de providence, ont empêché le sabotage de Linux et de tout Internet
La protection des mers en Grèce et la question de la tranchée hellénique…
"Notre conférence sur l'océan", Athènes va créer deux nouveaux parcs marins nationaux et interdire le chalutage, mais il y a un problème entre la mer Égée et la mer Ionienne