Violation des données personnelles : 6 raisons pour lesquelles les PME sont condamnées à une amende en vertu du RGPD

Cet article explore les 6 principales raisons pour lesquelles les PME sont sanctionnées par le RGPD et comment vous pouvez éviter que votre organisation ne soit soumise à des sanctions similaires. Il explique les motifs de chaque amende, suivis d'une étude de cas pour illustrer. Il suggère ensuite des moyens d'éviter de commettre les mêmes erreurs et les principaux points à retenir.

Bien que des amendes existent, il est important de noter que le principe de proportionnalité s'applique, selon lequel tant que les PME ont essayé de se conformer au RGPD, les régulateurs en tiendront compte lors de l'évaluation des sanctions qu'ils infligent. Si les PME font preuve d'ignorance à l'égard du RGPD, les amendes risquent d'être plus sévères.

N’oubliez pas cependant que le non-respect des règles ne se résume pas à une simple amende. Il s’accompagne de coûts supplémentaires, tels que les frais de justice, les frais de relations publiques et les atteintes à la réputation, qui peuvent tous contribuer au paysage général du non-respect des règles.

Raison 1 : Les organisations ne respectent pas les principes de traitement des données (c'est-à-dire l'envoi de courriers électroniques non sollicités)

Les PME sont passibles d'amendes si elles ne respectent pas les principes de traitement des données. Cela se traduit par des courriers électroniques non sollicités et des campagnes de marketing directement adressées aux clients, car cela témoigne d'une attitude irresponsable à l'égard des données personnelles et des droits des personnes concernées , ce qui va à l'encontre du principe de traitement des données de manière légale, équitable et transparente (voir article 5(1)(a) du RGPD ).

Étude de cas

Tax Returned Limited, qui compte moins de 15 employés, a été condamnée à une amende de 200 000 £ pour avoir envoyé des millions de SMS marketing non sollicités et, de même, Rancom Security Limited a été condamnée à une amende de 125 000 € pour avoir envoyé des appels marketing non sollicités.

Principaux points à retenir

• L'envoi d'e-mails de marketing direct nécessite uniquement un consentement explicite.
• Les cases pré-cochées ne suffisent pas à démontrer la conformité de votre organisation au RGPD.

Raison 2 : Base juridique insuffisante pour le traitement des données

Une autre raison courante pour laquelle des amendes sont infligées est l'absence de base juridique pour le traitement des données, ce qui n'est pas surprenant puisque les amendes les plus élevées du RGPD à ce jour ont été associées à cet article (voir l'article 6 du RGPD ). Ces 6 motifs de traitement licite sont les suivants :

(a) Consent

(b) Contrat

(c) Obligation légale

(d) Intérêts vitaux

(e) Tâche publique

(f) Intérêts légitimes

Elles légitiment l'utilisation, le transfert et le stockage des données personnelles, dont le non-respect pourrait conduire le responsable du traitement à traiter les données sans base légale.

Étude de cas

Alterna Operador Integral SL (Flip Energy) a été condamnée à une amende de 50 000 € après qu'une cliente a déposé une plainte affirmant que son fournisseur d'énergie avait été transféré vers Flip Energy sans son consentement. Cette décision contrevient à l'article 6, car les données transférées n'étaient pas fondées sur une base légale, telle qu'un consentement ou un intérêt légitime.

Nous pouvons également tirer des enseignements de la plus grosse amende jamais enregistrée : France c. Google Inc. Dans le cas de Google, le consentement a certes été obtenu, mais de manière illégitime pour deux raisons : il n’était pas éclairé et n’était pas spécifique aux finalités du traitement. Ainsi, le consentement ne peut être éclairé que si l’utilisateur est conscient de la mesure dans laquelle ses données seront utilisées dans des publicités personnalisées et d’autres supports marketing. La spécificité doit également être respectée si les utilisateurs acceptent que leurs données soient utilisées séparément pour chaque finalité. Google avait plutôt utilisé une méthode unique, selon laquelle le fait de cocher une case signifiait que l’utilisateur accepterait toutes les formes de traitement, ce qui a été jugé illégal car le filet était trop large.

Principaux points à retenir

• Votre organisation doit informer votre clientèle et vos utilisateurs de la mesure dans laquelle vous êtes susceptible de collecter leurs données personnelles.
• Il est également essentiel de préciser les finalités pour lesquelles vous traiterez leurs données et l'utilisateur doit être invité à consentir à chacune d'elles séparément et individuellement.
• Vous ne pouvez donc pas obliger les utilisateurs à cocher une case qui donnerait leur consentement complet à toutes les finalités pour lesquelles leurs données seraient traitées.

Raison 3 : Violations de données

Le stockage d'un volume trop important de données sans savoir exactement où elles sont stockées peut entraîner des violations de données coûteuses. Il est essentiel que les PME soient informées des mécanismes disponibles qui peuvent aider à prévenir les violations de données ou, à tout le moins, à les contrôler.

Étant donné qu’actuellement, en raison du Covid-19, de nombreux travailleurs travaillent à distance, il est d’autant plus crucial d’empêcher les violations de données par l’ajout de destinataires de courrier électronique incorrects et les employés victimes de courriers électroniques de phishing. Par conséquent, une couche de protection supplémentaire est requise de la part de votre organisation sous la forme d’une formation et de meilleurs comportements professionnels pour réduire et éviter le risque de violation de données.

Pour éviter les violations de données dans votre entreprise, il est possible de mettre en place des formations de sensibilisation, comme l'envoi de simulations d'e-mails de phishing et de voir si les employés peuvent les distinguer des e-mails légitimes. Une formation doit également être dispensée sur la protection des mots de passe et sur la manière dont les employés peuvent prendre des mesures pour assurer la sécurité des données des clients.

Étude de cas

Selon un rapport réalisé par Verizon , 28 % des violations de données en 2020 impliquaient des PME, ce qui représente près d'un tiers de toutes les violations de données. 45 % étaient dues au piratage informatique et 22 % à des erreurs internes.

Principaux points à retenir

• Assurez-vous que votre organisation sait où se trouvent vos données en les cartographiant.
• De cette façon, vous pouvez mieux contrôler qui a accès à quel type de données et si le cryptage ou d’autres mesures de sécurité sont en place pour les données personnelles ou considérées comme sensibles.
• Ces contrôles peuvent au moins permettre d’éviter l’effet aggravant des violations de données.

Raison 4 : Conservation des données personnelles plus longtemps que nécessaire et non-respect des règles de minimisation des données

Une autre raison fréquente pour laquelle des amendes sont infligées est liée au concept de minimisation des données . Les organisations ne doivent pas conserver les données plus longtemps que nécessaire (article 5(1)(c) du RGPD) et doivent minimiser la quantité de données conservées (article 5(1)(d) du RGPD) pour s'assurer que les problèmes de sécurité des données ne sont pas aggravés par de grandes quantités de données non triées. Le pire pour votre organisation est d'avoir de grandes quantités de données et de ne pas savoir pourquoi vous les stockez et où vous les stockez, ce qui peut devenir catastrophique en cas de violation de données. Comme le souligne le rapport DLA Piper , cela peut être encore aggravé par les données héritées (données collectées avant l'entrée en vigueur du RGPD), ce qui signifie qu'une grande partie d'entre elles ne sont pas structurées et ne suivent pas les procédures de stockage prévues par le RGPD. Ainsi, ces données doivent d'abord être cartographiées avant que votre organisation puisse envisager des techniques de minimisation des données. La plateforme Privasee est une solution d'auto-conformité automatisée qui peut vous aider à terminer votre cartographie des données en quelques minutes !

En tant qu'organisation, vous devez également mettre en place un mécanisme de suppression des données, électroniques ou autres, soit parce que vous n'en avez plus besoin, soit parce qu'on vous l'a demandé. La suppression des données physiques peut être facilement effectuée à l'aide d'un destructeur de documents, mais lors de la suppression des données électroniques, votre organisation doit également prendre soin de supprimer toute sauvegarde que vous avez pu effectuer dans le passé. Votre organisation doit s'assurer que les données supprimées ne sont plus utilisables sous quelque forme que ce soit en cas de violation de données, ce qui implique de s'assurer que les données ne restent pas simplement dans la corbeille où elles peuvent être facilement récupérées.

Consultez notre article sur la façon dont une entreprise a été condamnée à une amende de 13 000 £ pour ne pas avoir supprimé les anciennes boîtes e-mail des employés .

L' ICO recommande soit :

1. Installer un logiciel de suppression qui écrasera les données ou ;

2. Faire appel à des experts en informatique.

Étude de cas

En 2020, SPARTOO SAS a été condamnée à une amende de 250 000 € en vertu de divers articles, notamment l'article 5(1)(c) du RGPD, pour avoir enregistré de manière permanente toutes les conversations entre employés et clients, car il s'agissait d'une quantité disproportionnée de données nécessaires à ses fins, qui étaient de former le personnel. L'enregistrement intensif des appels téléphoniques signifiait également que les coordonnées bancaires des clients communiquées par téléphone étaient enregistrées et stockées, ce qui, en tant que données sensibles, nécessite des garanties supplémentaires telles que le cryptage, qui n'étaient pas en place dans ce cas.

Principaux points à retenir

• L'utilisation d'un logiciel tel que la plateforme Privasee vous indiquera exactement où se trouvent les données héritées et autres types de données au sein de votre organisation, ainsi que la quantité de données que vous détenez.
• Identifier les endroits où vous pouvez minimiser la quantité de données que vous détenez ou les endroits où les données ont été conservées plus longtemps que nécessaire à vos fins est essentiel pour satisfaire à l'article 5 du RGPD.
• La cartographie des données peut vous aider à visualiser la quantité de données que vous enregistrez et ainsi éliminer le risque d'enregistrer plus que nécessaire pour atteindre vos objectifs au sein de l'organisation.

Raison 5 : Non-respect des droits des personnes concernées

En lien avec ce qui précède, votre organisation doit être en mesure de comprendre en quoi consistent les droits des personnes concernées et quelles actions sont requises lorsque les personnes concernées déposent des demandes concernant leurs données, telles qu'une demande d'accès aux données (SAR).

Étude de cas

Une entreprise a été condamnée à une amende de 15 000 £ pour ne pas avoir répondu pleinement à une demande d'accès aux données d'une personne concernée et pour avoir ensuite ignoré un avis d'exécution.

Principaux points à retenir

• Assurez-vous que votre organisation est consciente et informée des moyens de gérer les SAR
• Comprenez que votre organisation doit répondre dans un délai d’un mois à compter de la réception du SAR et, dans le cas contraire, avoir une excuse valable pour le retard.
• Au cours de ce mois, vous devez également vous assurer que l'identité de la personne effectuant la SAR est légitime et non, par exemple, celle d'un fraudeur utilisant l'identité d'une autre personne pour accéder à ses données personnelles.
• Vous devez également identifier où se trouvent les données personnelles demandées et être responsable de la réalisation d’un balayage approprié de toutes vos bases de données pour les localiser de manière efficace et proportionnée.

Raison 6 : Transfert de données illicite

Une lourde amende peut également être encourue si votre organisation transfère des données de manière illégale à un tiers en dehors des territoires de l’EEE ou au sein des pays de l’EEE, mais sans mettre en place de mesures de protection appropriées.

Bien qu'aucune amende n'ait encore été infligée pour cette raison, les entreprises disposant d'une période de transition de 4 mois pour s'adapter au nouveau climat du Brexit, il serait judicieux pour votre organisation de cartographier correctement vos flux de données afin d'être au courant des mesures de protection qui seraient nécessaires. En outre, si vous comprenez cela, votre organisation pourra nommer un représentant compétent au sein de l'UE. Consultez notre article Comment le Brexit affecte-t-il la protection des données de votre organisation pour plus d'informations.

Clause de non-responsabilité

Privasee ne considère pas que l'article ci-dessus constitue un conseil juridique sous quelque forme que ce soit.

Plus d'informations peuvent être trouvées sur le site Web de l'ICO

Sources et autres articles

https://www.kingsleynapley.co.uk/insights/blogs/data-protection-blog/how-to-respond-to-a-subject-access-request-a-step-by-step-guide-for-organisations

‍