Sanctions RGPD : les 10 entreprises ayant subi les plus grandes sanctions RGPD au sein de l'Union Européenne (classement par pays 2018-2019)

entreprises sanctions RGPD Union Européenne classement par pays
  1. France
  2. Allemagne
  3. Pologne
  4. Portugal
  5. Espagne
  6. Pays-Bas

RGPD et Sanctions : de quoi parle-t-on ?

Sanction et entités juridiques : qui doit se conformer au RGPD ? Avant de commencer, faisons un petit rappel pour mieux comprendre. Mis en application depuis le 25 mai 2018, le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors :

  1. qu'elle est établie sur le territoire de l’Union européenne
  2. que son activité traite des données de ressortissants européens

Ne pas l'appliquer, c'est encourir une amende qui peut s'élever jusqu'à 4% du chiffre d'affaire mondial de l'entreprise ou 20 millions d'euros. Pourtant, certaines entreprises ne sont toujours pas conformes au RGPD, par manque de temps, par méconnaissance du sujet ou par manque de ressources internes.

Sanctions RGPD et entreprises : les plus grandes sanctions recensées par pays (2018 et 2019)

De nombreux cas de fraude ou d'amendes en matière de RGPD ont été identifiés. Voici le classement décroissant des entreprises classées par pays ayant subi les plus grandes sanctions RGPD au sein de l'Union Européenne (classement par pays 2018-2019) :

Espagne : l'AEPD a sanctionné RTVE de 60 000 euros pour la perte de six clés USB contenant des données de modèles sensibles.

Pays-Bas : 2 sanctions pour absence de mesures de sécurité suffisantes :

  1. La première pour un assureur dont le système d'authentification, pour l'accès aux données de santé de ses salariés, n'était pas suffisant. Condamné à une amende de 150 000€/mois tant que le problème ne serait pas résolu (dans la limite de 900 000 euros).
  2. La deuxième sanction a été appliquée à un hôpital pour ne pas avoir garanti une sécurité adéquate des dossiers de ses patients. L'Amende s'élève à 100 000 euros toutes les deux semaines (avec une limite de 300 000 euros) jusqu'à ce que la sécurité soit corrigée.

Espagne : LaLiga condamnée à 250 000 euros pour violation du principe de légalité, de loyauté et de transparence.

Portugal : Un hôpital pour avoir donné accès aux données des patients à travers de faux profils de médecins. Cela donnait un accès illimité aux dossiers des patients de l'hôpital qui a été condamné à 400 000 euros.

En Pologne : L'UODO condamne une boutique en ligne à une amende de 645 000 euros. L'absence de système de sécurité adéquate a permis de découvrir les données personnelles de deux millions de clients.

Allemagne : La société immobilière allemande Deutsche Wohnen a été condamnée à 14,5 millions d'euros. Elle conservait des données outre mesure en enfreignant le Règlement Général sur la Protection des Données.

France : Google a été condamné à 50 millions d'euros, car les informations mises à disposition des utilisateurs étaient difficilement accessibles et compréhensibles.

Petit bonus avec le Royaume-Uni (hors UE) : 110 millions d'euros pour les hôtels Marriott suite à une violation de données de plus de 330 millions de personnes. Dans cette veine, la compagnie British Airways a été condamnée à plus de 204 millions d'euros pour avoir révélé a posteriori la violation des données des ses clients.

La France est l'un des pays qui inflige les sanctions les plus lourdes, notamment avec les 50 millions d'euros infligés à Google.
Nous avons cité de grandes entreprises dans le cas de ce classement, mais la CNIL renforce également ses contrôles auprès des petites entreprises et associations ; des médecins généralistes ont même été sanctionnés en France en 2020.

Sanctions RGPD en France ? Ces articles pourraient vous intéresser :

- Focus sur les sanctions de la CNIL

- Amende RGPD : 6 leçons à retenir après la sanction de Carrefour par la CNIL

- Amende RGPD à l'égard de l'office HLM de la métropole de Rennes