Amendes GDPR émises jusqu'à présent : Points clés à retenir

Le RGPD en un coup d'œil

Cela fait un an depuis que le General Data Protection Regulation (GDPR) est entré en vigueur, après des années de discussions sur la Data Security adaptée à l'ère numérique. L'un des règlements les plus stricts à ce jour, le GDPR s'applique à toute entreprise ou organisme public qui collecte, traite ou stocke les données personnelles des résidents de l'UE. Cela inclut non seulement chaque employeur dans l'UE mais aussi toute organisation partout dans le monde qui offre des produits et services aux résidents de l'UE, ainsi que les entreprises qui traitent leurs données personnelles pour le compte d'autres organisations. En raison de sa portée mondiale, le GDPR a conduit à un changement massif dans la protection des données personnelles, tant au sein de l'UE qu'au-delà.

Le European Data Protection Board (EDPB) signale que durant la première année depuis l'entrée en vigueur du RGPD, plus de 89.000 violations de données ont été enregistrées et 446 cas transfrontaliers ont été enquêtés par les autorités de protection des données. De plus, la Commission Européenne note que le nombre de requêtes et de plaintes des individus concernant la sécurité de leurs données est en hausse, ce qui suggère une prise de conscience publique croissante à propos des droits de protection des données garantis par le RGPD.

Un autre impact significatif du RGPD est qu'il aide à révéler comment les données sont traitées par les géants d'Internet, les plateformes de médias sociaux et les entreprises d'autres secteurs — un sujet qui préoccupe beaucoup de personnes partout dans le monde. Par exemple, dans son rapport annuel de 2018, la Commission irlandaise de protection des données (DPC) a déclaré qu'elle avait ouvert des enquêtes sur les activités de traitement des données d'un certain nombre de multinationales d'internet et de technologie basées en Irlande, y compris Facebook, Apple, Twitter, LinkedIn, WhatsApp et Instagram.

Cas de non-conformité au RGPD : Ce que nous avons appris

Un rapport EDBP couvrant les neuf premiers mois suivant l'entrée en vigueur du RGPD révèle que les régulateurs de 11 pays européens ont imposé plus de 56 millions d'euros d'amendes. La majeure partie de ce montant provient d'une seule sanction — l'amende massive de 50 millions d'euros imposée à Google par l'autorité française de protection des données.

C'est l'amende GDPR la plus élevée à ce jour, mais il est difficile de dire combien de temps Google conservera cette distinction douteuse. Des enquêtes sont en cours sur plusieurs violations graves de la confidentialité des données, les amendes n'ayant pas encore été annoncées. L'une d'elles concerne une violation de données chez British Airways, enquêtée par le bureau du commissaire à l'information du Royaume-Uni (ICO). En vertu du GDPR, l'entreprise pourrait se voir infliger une amende allant jusqu'à 4 % de son chiffre d'affaires annuel mondial, ce qui représenterait une amende de 560 millions d'euros — un ordre de grandeur supérieur à la pénalité de Google.

Il y a également eu de nombreuses applications impliquant des organisations plus petites avec des amendes bien moindres. Cela suggère que les autorités ont largement considéré la première année comme une période de transition pour alerter les entreprises et les soutenir dans leur démarche vers la GDPR compliance, plutôt que de traquer chaque infraction et d'imposer les sanctions maximales.

Néanmoins, un certain nombre d'organisations ont déjà été frappées par d'importantes amendes GDPR. Voici quelques-unes de leurs histoires :

L'échec de la mise en œuvre de contrôles techniques et organisationnels appropriés

Qui : Centro Hospitalar Barreiro Montijo (un hôpital portugais)

Quand : juillet 2018

Combien : 400 000 €

Violation : L'hôpital comptait 689 utilisateurs associés à des profils « médecin » qui leur accordaient des droits d'accès excessifs, alors qu'il n'y avait que 296 médecins à l'hôpital. De plus, tous les médecins avaient un accès illimité à tous les dossiers des patients, indépendamment de la spécialité du médecin. La dernière fois que l'hôpital a désactivé un compte utilisateur remonte à novembre 2016. L'hôpital n'avait également aucune documentation expliquant les droits d'accès des utilisateurs, et aucun document définissant les règles de création des utilisateurs de son système d'information.

Points clés : L'article 25 du RGPD exige des organisations qu'elles mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir que les données sensibles soient traitées correctement et soient accessibles uniquement aux personnes autorisées. Voici les étapes les plus importantes à suivre :

• Déterminez quelles données sensibles vous possédez et qui y a accès. L'utilisation d'une solution de data classification vous aidera à séparer les actifs les plus critiques des données moins sensibles.
• Trouvez des données réglementées par le GDPR qui sont trop exposées. Minimisez les privilèges des comptes en fonction des exigences des tâches ou du poste. Effectuez des revues d'accès périodiques pour vous assurer que le principle of least privilege est respecté.
• Assurez-vous que toutes les données réglementées sont stockées dans un emplacement sécurisé selon leur valeur et leur sensibilité.
• Maintenez vos contrôles de sécurité à jour et soyez prêt à fournir des preuves que votre entreprise traite les données personnelles de manière sécurisée.

Échec à signaler une violation de données

Qui : UAB MisterTango (prestataire de services de paiement lituanien)

Quand : mai 2019

Combien : 61 500 €

Violation : L'une des dernières histoires concerne une entreprise qui n'a pas signalé une violation de données personnelles survenue les 9 et 10 juillet 2018. Pendant cette période de 2 jours, les données de paiement étaient publiquement accessibles sur internet en raison de mesures techniques et organisationnelles inadéquates. Les données concernaient 12 banques de différents pays et 9 000 transactions de paiement. L'entreprise a également violé le GDPR lorsqu'elle a accédé et collecté plus de données personnelles que nécessaire pour l'exécution des paiements. L'entreprise a aussi conservé des données réglementées par le GDPR beaucoup plus longtemps que nécessaire — 216 jours au lieu de 10 minutes.

Points clés : La sanction dans ce cas montre que les régulateurs du GDPR prennent très au sérieux le manquement à les notifier d'une violation de données, surtout lorsque la violation concerne des informations financières. Les organisations doivent avoir tous les contrôles nécessaires en place pour détecter, signaler et enquêter sur les violations de données personnelles. Consultez votre conseiller juridique concernant les Articles 33 et 34 si vous n'êtes pas sûr des démarches pour une notification correcte de violation de données et de leur application.

Pour vous assurer de collecter et de conserver uniquement les informations minimales nécessaires à vos processus commerciaux, vous devriez élaborer une politique de conservation qui indique clairement combien de temps conserver chaque type de données et quoi en faire (telles que les supprimer ou les archiver) une fois que vous n'en avez plus besoin ou que vous n'êtes plus légalement autorisé à les conserver.

Le manquement à informer les individus que leurs données seraient traitées

Qui : Contrôleur de données non nommé en Pologne

Quand : mars 2019

Combien : 200 000 €

Violation : En vertu du RGPD, les individus ont le droit d'être informés de la collecte et de l'utilisation de leurs données personnelles. L'organisation dans ce cas a correctement informé les 90 000 personnes de sa base de clients dont elle avait les adresses e-mail — mais elle n'a pas contacté directement les 6 millions d'autres personnes pour lesquelles elle n'avait pas d'adresses e-mail, invoquant des coûts opérationnels élevés. Au lieu de cela, l'organisation a choisi de présenter les informations concernant la collecte et l'utilisation des données sur son site web.

Points clés : Les régulateurs ont jugé cette approche insuffisante, notant que l'entreprise disposait d'autres coordonnées, telles que des numéros de téléphone et des adresses physiques, qu'elle aurait pu utiliser pour contacter directement les clients. Les régulateurs ont également considéré l'infraction comme intentionnelle car l'entreprise était consciente de l'obligation d'informer directement les individus et il n'y avait aucune tentative ou même intention déclarée de mettre fin à l'infraction.

Cette décision récente suggère que la clémence dans l'application du RGPD est terminée. L'entreprise a violé les exigences clés de la loi concernant le traitement approprié des données personnelles et a été frappée d'une lourde amende.

The GDPR’s influence on regulatory systems outside the EU

Depuis l'entrée en vigueur du RGPD, nous avons vu des lois similaires adoptées dans le monde entier. Selon la Conférence des Nations Unies sur le commerce et le développement (CNUCED), plus de 100 pays ont désormais des lois sur la protection des données en place. La nouvelle réglementation du Brésil porte même un nom similaire : Loi générale sur la protection des données (LGPD). Au cours des prochaines années, nous nous attendons à voir plus de mesures d'application concernant les échanges internationaux de données.

L'UE travaille à introduire le Règlement ePrivacy, qui remplacera la Directive ePrivacy 2002/58/EC (la « Loi sur les Cookies ») et complétera le RGPD en régulant la vie privée en ce qui concerne les services de communication électronique, y compris l'utilisation des métadonnées et des cookies.

La confidentialité des données est également abordée aux États-Unis. Par exemple, le California Consumer Privacy Act (CCPA), qui a beaucoup de points communs avec le RGPD, entre en vigueur le 1er janvier 2020. Le Massachusetts met à jour sa loi sur les violations de données pour inclure de nouvelles exigences pour les entreprises qui collectent les données personnelles des résidents de l'État, et l'Oregon travaille sur des modifications pour renforcer les lois sur la cybersécurité pour les organisations qui subissent une violation de données.

Ce que les experts disent de l'impact du GDPR

Nous avons demandé à plusieurs experts en quoi le RGPD a impacté les entreprises, et voici ce qu'ils ont répondu :

Douglas Crawford, expert en confidentialité numérique, ProPrivacy.com

On peut dire que le plus grand avantage est que le RGPD a obligé les entreprises à réfléchir soigneusement au consentement des utilisateurs et au droit à la vie privée. En réalité, il faudra plusieurs années pour que les avantages complets pour les consommateurs deviennent évidents, mais le résultat final devrait profiter aux utilisateurs d'internet partout dans le monde. Puisque adopter une approche à plusieurs niveaux pour la vie privée des utilisateurs est extrêmement peu pratique, les entreprises ont été contraintes d'étendre les avantages de la vie privée du RGPD à tous leurs clients, qu'ils vivent ou non dans l'UE.

Bien que la première année ait été qualifiée d'année de « transition », le RGPD a jusqu'à présent obtenu un succès notable en ce qui concerne le signalement des violations de données. Au sein de l'UE, de tels rapports ont presque doublé dans les huit premiers mois depuis l'introduction du RGPD. Cela risque de mettre la pression sur le gouvernement des États-Unis pour instaurer des lois similaires au niveau fédéral, plutôt que de s'appuyer sur un enchevêtrement inefficace de législations au niveau des États qui aboutit à des niveaux bas de violations de données auto-déclarées.

Il est probable que les régulateurs européens adoptent une approche plus ferme de l'application du GDPR dans les années à venir. Il est logique de commencer par mettre de l'ordre dans leur propre jardin, mais une fois cela fait, il est presque certain que les régulateurs porteront davantage leur attention sur les entreprises internationales qui font des affaires en Europe.

Monica Eaton-Cardone, cofondatrice et directrice des opérations, Chargebacks911

En tant qu'entrepreneur international, j'ai remarqué que de nombreuses entreprises ont engagé des avocats pour les aider avec leurs données. Lorsque le RGPD est entré en vigueur, les gens ont pris davantage conscience de l'importance de protéger leurs données.

Bien que le RGPD ait aidé certaines entreprises à se développer, il y a eu des milliers de plaintes concernant le manque de transparence appropriée, ce qui n'était pas une surprise. Après tout, au moment où le RGPD est entré en vigueur, peu de commerçants disposaient de l'infrastructure nécessaire pour analyser les données avec autant de détails que le RGPD l'exige, et peu le font même maintenant.

La communication entre les sujets de données pourrait évoluer avec le temps pour aider à sécuriser notre vie privée pour les années à venir. Cependant, il reste à voir comment cela affectera la fraude à long terme, car nous pourrions avoir un accès de plus en plus limité aux données des consommateurs.

Simon Fogg, expert en confidentialité des données et analyste juridique, Termly.io

Les entreprises américaines sont désormais nettement plus prudentes lorsqu'elles ciblent des clients dans l'UE. Bien que le RGPD soit entré en vigueur il y a plus d'un an, plus de 1 000 grandes publications américaines sont toujours inaccessibles aux utilisateurs de l'UE — soit parce que ces publications n'ont jamais finalisé leurs efforts de conformité, soit parce qu'elles estimaient que leur base de clients européens n'était pas assez grande pour justifier les changements nécessaires (et coûteux). Les entreprises américaines avaient l'habitude de collecter des données de manière extensive, mais le RGPD les a forcées à naviguer avec une vigilance accrue les frontières des données.

Nous devrions nous attendre à ce que le nombre d'amendes pour non-conformité au RGPD explose. Bien que peu de sanctions notables aient été prononcées jusqu'à présent, les régulateurs traitent encore un grand nombre de violations de données en attente. Une fois qu'ils auront rattrapé leur retard, ils commenceront à exercer leur autorité avec plus de force, et il est probable que les entreprises aux États-Unis soient parmi celles qui seront touchées.

Sweeney Williams, vice-président de la sécurité, de la confidentialité et de la conformité, Vision Critical

Avant le RGPD, les entreprises américaines sans présence physique en Europe pouvaient opérer avec peu ou pas de considération pour les exigences de confidentialité de l'UE, puisque la portée de l'application était limitée et les amendes potentielles étaient faibles. Le RGPD a contraint les entreprises américaines non seulement à prendre en compte les exigences de l'UE, mais aussi à mettre en œuvre et à faire respecter ces exigences dans leurs propres opérations, souvent à grands frais. Des milliers d'entreprises ont embauché des délégués à la protection des données, créé des cartographies complexes des flux de données, mis en place des processus d'accès aux données par les sujets dans des dizaines d'applications déconnectées, et ont réalisé d'importantes mises à niveau de leurs opérations de sécurité et de confidentialité des données. D'autre part, un certain nombre d'entreprises basées aux États-Unis ont choisi de fermer des opérations qui étaient soit situées dans l'UE, soit fournissaient des produits et services à l'UE, croyant que le coût de la perte de revenus serait inférieur au coût de la conformité et des amendes potentielles. Certaines sont même allées jusqu'à bloquer les IP européennes de se connecter à leurs sites web.

The single most significant and beneficial impact of GDPR, both within and outside of the U.S., has been its influence on the public, due to the strong data subject access and transparency rights it features. While the underlying concepts contained in GDPR are not new, awareness of data privacy rights has skyrocketed as a result of the unprecedented amount of press the regulation has generated since its introduction. Individuals now expect to receive the same level of transparency, data access and control rights as those contained in GDPR, and regulators around the world are facing significant pressure from their constituents to enact GDPR-like data privacy legislation in their own countries. In the U.S. specifically, the rate of newly proposed data privacy regulations is at an all-time high and is likely to culminate in the creation of the first-ever U.S. federal privacy law, which some deemed impossible just a few short years ago.

Aki Estrella, conseiller en confidentialité, Stellae Legal and Risk Advisors

Principalement, le RGPD a changé la manière dont les entreprises traitent les informations et la façon dont elles planifient leur utilisation. Ségréguer les informations, envoyer des avis et former les employés/départements pour répondre aux demandes des citoyens de l'UE ont été les impacts les plus courants ; cependant, comme nous l'avons vu, quelques entreprises n'ont pas tout à fait bien fait les choses et font face aux amendes colossales associées au RGPD. Je ne vois pas de réduction de l'échelle des entreprises utilisant des données ou vendant à l'UE (ou au Royaume-Uni, qui a adopté sa propre réglementation des données qui est presque identique).

FAQ

What is GDPR in cyber security?

Le RGPD (Règlement Général sur la Protection des Données) dans la cybersécurité représente un cadre complet qui impose des mesures techniques et organisationnelles spécifiques pour protéger les données personnelles contre les menaces cybernétiques et l'accès non autorisé. D'un point de vue cybersécurité, le RGPD exige des organisations qu'elles mettent en œuvre la protection des données dès la conception et par défaut, ce qui signifie que les contrôles de sécurité doivent être intégrés dans les systèmes dès le départ plutôt qu'ajoutés après coup. Les exigences clés en matière de cybersécurité incluent le chiffrement des données personnelles en transit et au repos, des contrôles d'accès robustes qui limitent l'accès aux données au personnel autorisé uniquement, des évaluations de sécurité régulières et des tests de pénétration, ainsi que des procédures de réponse aux incidents qui permettent de notifier une violation dans les 72 heures. Le RGPD impose également des techniques de pseudonymisation, des procédures de sauvegarde et de récupération des données sécurisées, et des pistes d'audit complètes qui suivent qui a accédé à quelles données et quand. Pour la gestion des identités et des accès, le RGPD exige des organisations qu'elles mettent en œuvre des mécanismes d'authentification forts, des révisions régulières des accès et une provision et déprovision automatiques pour empêcher l'accès non autorisé aux données. Le principe de « confidentialité dès la conception » de la réglementation signifie que la cybersécurité ne concerne pas seulement la conformité – il s'agit de construire des systèmes résilients qui protègent les données personnelles en tant qu'exigence fondamentale de conception.

À qui s'applique le RGPD ?

Le RGPD s'applique à toute organisation qui traite des données personnelles de résidents de l'UE, indépendamment du lieu où l'organisation est physiquement située – cela signifie que les entreprises américaines, les entreprises asiatiques et les organisations du monde entier peuvent toutes relever de la juridiction du RGPD. Le règlement couvre deux types d'entités : les contrôleurs de données (qui déterminent les finalités et les moyens du traitement des données personnelles) et les processeurs de données (qui traitent les données pour le compte des contrôleurs). Votre organisation est soumise au RGPD si vous proposez des biens ou services aux résidents de l'UE, surveillez le comportement en ligne des résidents de l'UE, ou gérez les données des employés de l'UE dans des entreprises multinationales. Même si votre entreprise n'a pas de présence physique dans l'UE, des activités telles que la diffusion d'annonces ciblées aux utilisateurs de l'UE, le traitement des commandes de clients de l'UE, ou le suivi des visiteurs de sites web de l'UE à travers des cookies peuvent déclencher des obligations RGPD. Le facteur clé est le traitement des données personnelles – toute information pouvant identifier un résident de l'UE, y compris les noms, adresses e-mail, adresses IP, données de localisation ou identifiants en ligne. Les petites entreprises ne sont pas exemptées si elles répondent à ces critères, bien que certaines activités de traitement puissent bénéficier d'exemptions. Pour les professionnels de la gestion des identités, cela signifie que tout système stockant des données personnelles de l'UE nécessite des contrôles d'accès conformes au RGPD, des pistes d'audit et des capacités de droits des sujets de données indépendamment de la localisation géographique de votre organisation.

Qu'est-ce que la conformité au RGPD ?

La conformité au RGPD implique la mise en œuvre de mesures de protection des données complètes répondant à toutes les exigences du Règlement Général sur la Protection des Données, allant bien au-delà de simples politiques de confidentialité pour englober des garanties techniques, des procédures organisationnelles et la protection des droits individuels. Une véritable conformité nécessite une approche multicouche incluant la détermination d'une base légale pour toutes les activités de traitement des données, des évaluations d'impact sur la protection des données pour les traitements à haut risque, la nomination de Délégués à la Protection des Données lorsque cela est requis, et la mise en œuvre des droits des personnes concernées incluant l'accès, la rectification, l'effacement et la portabilité. Les mesures de conformité technique comprennent le chiffrement, la pseudonymisation, les contrôles d'accès, les journaux d'audit et les pratiques de minimisation des données qui garantissent que vous collectez et conservez uniquement les données personnelles nécessaires à des fins spécifiées. La conformité organisationnelle implique la formation du personnel, le développement de politiques, la gestion des fournisseurs et les procédures de réponse aux violations pouvant répondre à l'exigence de notification de 72 heures. Du point de vue de la gestion des identités, la conformité au RGPD signifie la mise en œuvre de contrôles d'accès basés sur les rôles, des révisions régulières des accès, la gestion automatisée du cycle de vie des utilisateurs et des pistes d'audit complètes qui peuvent démontrer la conformité lors des enquêtes réglementaires. La conformité n'est pas un accomplissement ponctuel mais un processus continu nécessitant des évaluations régulières, des mises à jour des politiques et une surveillance continue pour maintenir les normes de protection à mesure que votre entreprise et le paysage réglementaire évoluent.

Comment réaliser un audit de conformité au RGPD ?

Un audit de conformité au RGPD nécessite une évaluation systématique de vos activités de traitement des données, des mesures de protection techniques et des procédures organisationnelles pour identifier les lacunes et garantir l'alignement réglementaire. Commencez par la cartographie des données pour créer un inventaire complet des données personnelles que votre organisation collecte, traite, stocke et partage. Cela inclut l'identification des sources de données, des finalités de traitement, des bases légales, des périodes de conservation et des arrangements de partage avec des tiers. Évaluez les contrôles techniques incluant les systèmes de gestion des accès, les mises en œuvre du chiffrement, les procédures de sauvegarde et les capacités de surveillance de la sécurité pour vous assurer qu'ils répondent à l'exigence de « mesures techniques appropriées » du RGPD. Examinez les mesures organisationnelles incluant les programmes de formation du personnel, les politiques de protection des données, les accords avec les fournisseurs et les procédures de réponse aux incidents pour vérifier qu'ils soutiennent les obligations du RGPD. Évaluez la mise en œuvre des droits des personnes concernées en testant votre capacité à répondre aux demandes d'accès, aux exigences de rectification et aux besoins d'effacement dans les délais imposés. Examinez les pratiques de documentation pour vous assurer que vous pouvez démontrer la conformité à travers les registres des activités de traitement, les évaluations d'impact sur la protection des données et les journaux d'incidents de violation. Pour les systèmes de Identity Management, auditez les contrôles d'accès des utilisateurs, Privileged Access Management, les processus de révision des accès et l'exhaustivité des pistes d'audit pour vous assurer que vous pouvez suivre qui a accédé à quelles données personnelles et quand. Documentez toutes les constatations avec des priorités de remédiation claires, des calendriers de mise en œuvre et des affectations de responsabilités. Des audits réguliers devraient avoir lieu au moins annuellement ou après des changements significatifs du système, avec une surveillance continue pour les activités de traitement des données à haut risque.

Liste de contrôle pour la mise en œuvre du RGPD pour Identity Management ?

La mise en œuvre du RGPD pour la gestion des identités nécessite le déploiement systématique de contrôles d'accès, de capacités d'audit et de support des droits des personnes concernées qui protègent les données personnelles tout au long de leur cycle de vie. Commencez par la mise en œuvre d'un cadre de contrôle d'accès : établissez des contrôles d'accès basés sur les rôles qui appliquent les principes du moindre privilège, mettez en œuvre des mécanismes d'authentification forts incluant l'authentification multi-facteurs pour l'accès aux données sensibles, et déployez une provision et déprovision automatiques pour assurer des changements d'accès en temps opportun lorsque les employés rejoignent, se déplacent ou partent. Mettez en place une journalisation d'audit complète qui capture qui a accédé à quelles données personnelles et quand, avec un stockage de journaux à l'épreuve des altérations et une analyse régulière des journaux pour détecter les tentatives d'accès non autorisées. Déployez des outils de découverte et de classification des données pour identifier où résident les données personnelles dans votre environnement, puis mettez en œuvre des contrôles d'accès qui restreignent l'accès aux données personnelles aux rôles autorisés uniquement. Établissez des capacités d'exécution des droits des personnes concernées incluant la recherche et la récupération automatisées pour les demandes d'accès, des procédures de modification sécurisée des données pour les demandes de rectification et des processus fiables de suppression des données pour les demandes d'effacement. Configurez des politiques de conservation des données qui purgent automatiquement les données personnelles lorsque les périodes de conservation légales expirent, avec une gestion des exceptions pour les exigences de conservation légales. Mettez en œuvre des techniques préservant la vie privée incluant la pseudonymisation pour les environnements de développement et de test, le chiffrement pour les données personnelles au repos et en transit, et des contrôles de minimisation des données qui empêchent la collecte excessive de données personnelles. Créez des procédures de réponse aux incidents spécifiquement pour les violations de données liées à l'identité, incluant la contention rapide, l'évaluation de l'impact et les capacités de notification réglementaire. Documentez toutes les procédures de gestion des identités, effectuez des révisions d'accès régulières et établissez une surveillance continue pour assurer une conformité soutenue au RGPD à mesure que votre infrastructure d'identité évolue.