Après les conseils de lecture et l’actualité du risque de cyberfraude entrainant le traitement illicite-la perte-le vol de données (suivre le lien), je vous propose en lien avec le titre de mon contenu de revenir sur son impact très fort à travers un nouveau contenu :

Une infographie des sanctions récentes : les géants et les autres.

• Les géants sont sanctionnés – Meta, Apple, EdF, H&M…-
• Mais pas que… « La CNIL a adressé une importante sanction à l’encontre du Groupe CANAL+ ! »

ACTUS LES ECHOS – 6 juin 2024 – 8h02 – Données personnelles et IA : Meta visé par 11 plaintes en Europe

Le géant américain des réseaux sociaux Meta (Facebook, Instagram) est visé ce jeudi par des plaintes dans 11 pays européens pour un projet d’utilisation « illégale » des données personnelles de ses utilisateurs dans un programme d’intelligence artificielle, selon un communiqué de l’association Noyb.

Bête noire des géants de la tech, l’ONG viennoise demande aux autorités d’intervenir « en urgence » pour empêcher la mise en oeuvre de cette nouvelle politique de confidentialité, prévue le 26 juin. Si certaines données publiques sont déjà utilisées pour entraîner les modèles d’IA générative, Meta veut aller plus loin et « carrément prendre » l’ensemble des données de ses milliards d’utilisateurs collectées depuis 2007. Après ces 11 Etats, dont la France, la Belgique ou encore l’Allemagne, des procédures seront engagées dans les autres pays de l’UE « dans les prochains jours ».

Les Echos. 6 juin 2024

Infographie des amendes au titre du RGPD

La Commission irlandaise de protection des données, l’équivalent de la Cnil en France, a décidé la semaine dernière d’infliger une amende de 265 millions d’euros à Facebook pour avoir violé le règlement général sur la protection des données (RGPD), suite à une immense fuite de données d’utilisateurs survenue entre mai 2018 et septembre 2019. Cette amende est la quatrième infligée aux plateformes détenues par la société mère de Facebook, Meta. Même si cette somme peut sembler considérable, il ne s’agit pas du montant le plus élevé qu’une entreprise ait dû payer dans l’histoire du RGPD.

Comme le montre notre graphique, cet honneur discutable revient à Amazon, un autre géant du Web. En juillet 2021, le régulateur luxembourgeois avait infligé une amende monstre de 746 millions d’euros à la branche européenne du groupe américain, pour « non-respect des principes généraux de traitement des données dans le cadre du RGPD », d’après le suivi réalisé par CMS. La quatrième place de ce classement revient à la messagerie WhatsApp, suivie de trois amendes reçues par Google et d’une infligée à Facebook.

Le cadre réglementaire du RGPD vise à donner aux utilisateurs un plus grand contrôle sur leurs données et impose de nouvelles normes à la gestion des données personnelles en entreprise. Pour les contrevenants à ces règles, les sanctions sont souvent lourdes. Le RGPD a été mis en place le 25 mai 2018, en remplacement de la directive européenne sur la protection des données de 1995, et contient 99 articles. À ce jour, le suivi de CMR recense 1 507 violations individuelles du RGPD, bien que les données soient très probablement incomplètes puisque toutes les amendes ne sont pas rendues publiques.

Tristan Gaudiaut 5 déc. 2022

Les montants des sanctions finissent par de belles additions si on y ajoute les 5 milliards de dollars payés en 2019 aux autorités américaines et les 725 millions de dollars réglés ce mois-ci pour éteindre une action collective … et le metavers n’a pas encore fait jurisprudence…
La contribution des juges à la mise en conformité des réseaux sociaux a un coût que semblent prêts à supporter leurs acteurs. 

Données personnelles : la somme des amendes contre Meta s’approche du milliard d’euros

Le champion des applications de réseaux social vient d’être une nouvelle fois sanctionné par la CNIL irlandaise. Celle-ci lui réclame 265 millions d’euros pour n’avoir pas su protéger les données de 500 millions d’utilisateurs de ses applications dans le monde.

C’est un cap symbolique que la maison mère de Facebook, Instagram et WhatsApp aurait préféré ne jamais franchir. Et encore moins au moment où les difficultés économiques s’accumulent et l’ont contraint au premier plan de licenciement de son histoire. Condamné une nouvelle fois à une gigantesque amende pour avoir échoué à protéger des données personnelles d’internautes européens, Meta cumule désormais quasiment 1 milliard d’euros d’amende auprès des régulateurs du Vieux Continent.

La dernière sanction en date punit le champion des réseaux sociaux car il n’avait pas su empêcher l’aspiration en 2019 puis la publication en 2021 de données relatives à plus de 500 millions des utilisateurs de ses applications dans le monde. Outre une amende de 265 millions d’euros annoncée lundi 28 novembre, la CNIL irlandaise indique avoir imposé à Meta des mesures correctives mais ne précise pas lesquelles.

Les conséquences du RGPD

Dans le détail, les cybercriminels étaient parvenus à détourner des fonctionnalités de découverte de nouveaux contacts – comme Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer – pour constituer d’importants jeux de données qu’ils espéraient revendre au marché noir. A la suite de la parution de nombreux articles de presse, la DPC irlandaise avait ouvert une enquête en avril 2021. Meta assure y avoir pleinement coopéré.

Depuis 2018 et l’entrée en application du règlement européen sur la protection des données personnelles (RGPD), Meta est le groupe le plus sanctionné par les instances européennes. De Twitter à Google en passant par Amazon, aucun ne s’est autant attiré les foudres de ce règlement qui a considérablement durci les sanctions sur ce sujet et prévoit des amendes égales à 4 % du chiffre d’affaires mondial des contrevenants.

60 millions d’euros d’amende en France

A ce jour, l’amende la plus importante imposée à Meta est venue punir les manquements constatés sur Instagram en matière de protection des données des utilisateurs âgés de 13 à 17 ans. Pas moins de 405 millions d’euros ont été réclamés en septembre dernier à Meta, qui a fait appel. L’an dernier, le groupe de Mark Zuckerberg a par ailleurs été prié de payer 225 millions d’euros d’amende pour non-respect du RGPD sur WhatsApp. Mais il a, là encore, fait appel.

Plus modestement, Meta n’a pas échappé à une amende de 17 millions d’euros en raison de la découverte en fin d’année 2018 d’une douzaine de failles de sécurité désormais résorbées. En France, la CNIL présidée par Marie-Laure Denis a de son côté sanctionné la filiale européenne de Facebook d’une amende d’un montant de 60 millions d’euros, au motif que les utilisateurs de Facebook en France ne pouvaient pas refuser aussi facilement qu’ils les acceptaient les cookies, ces fichiers qui pistent leurs historiques de navigation. A l’échelle européenne, treize enquêtes concernant Meta sont toujours en cours.

Par Florian Dèbes. 28 nov. 2022

Une sanction de 600 000 euros à l’encontre de EDF

Plusieurs manquements sont concernés :

✔ L’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique
✔ L’obligation d’information et au respect de l’exercice des droits
✔ L’obligation d’assurer la sécurité des données personnelles 
 

Données personnelles : Apple sous le coup d’une sanction symbolique de la CNIL

Le fabricant de l’iPhone va devoir s’acquitter d’une amende de 8 millions d’euros après une plainte de l’association France Digitale. Mais le gendarme français des données personnelles a retenu plusieurs circonstances atténuantes.

Les propriétaires d’iPhones pouvaient bien décliner les identifiants publicitaires mais le choix ne leur était pas proposé directement puisqu’ils devaient proactivement fouiller dans les paramètres de l’App Store.

Même les premiers de la classe ont parfois des mauvaises notes. Pourtant reconnu comme plus sérieux que bien d’autres champions américains de la tech en matière de protection des données personnelles, Apple vient d’en faire les frais. Averti par la CNIL, le fabricant de l’iPhone va devoir s’acquitter d’une amende de 8 millions d’euros.

La CNIL reproche à l’entreprise de Tim Cook d’avoir déposé sur le smartphone de ses clients français des identifiants destinés à personnaliser des publicités affichées dans l’App Store – le magasin d’applications d’Apple – avant d’avoir recueilli leur consentement. « Lors d’un contrôle en juin 2021, nous avons constaté deux manquements de la part d’Apple qui rendaient plus difficile de refuser les identifiants publicitaires que de les accepter », explique Louis Dutheillet de Lamothe, le secrétaire général du régulateur français des données personnelles.

Simili-cookies à la sauce Apple

Dans le détail, les propriétaires d’iPhones pouvaient bien décliner ces identifiants mais le choix ne leur était pas proposé directement puisqu’ils devaient proactivement fouiller dans les paramètres de l’App Store. Second manquement, particulièrement problématique pour la CNIL, la case autorisant le dépôt de ces simili-cookies à la sauce Apple était pré-cochée…

Cette sanction donne raison à l’association de start-up et d’investisseurs France Digitale qui avait saisi la CNIL en mars 2021. « Le jugement et la sanction de la CNIL viennent confirmer que la réglementation permet de freiner et condamner les comportements abusifs, en l’occurrence l’atteinte à la vie privée par Apple », se satisfait Maya Noël, sa directrice générale.

Symboliquement, l’association peut se réjouir : alors que nombres de ses membres ont le sentiment d’être pris à la gorge par les règles de protection de la vie privée imposées par Apple depuis avril 2021 aux développeurs d’applications pour iPhones et iPad, son action vient ébrécher l’armure de chevalier de la confidentialité volontiers endossée à Cupertino. Mais le groupe californien est toujours le seul à disposer de données de premières mains au sein de son écosystème, tandis qu’il développe à vive allure son activité dans la publicité en ligne.

Manquements corrigés

Par ailleurs, le montant de l’amende reste faible au regard des milliards de dollars de cash d’Apple. Bien que la Cnil se soit montrée plus sévère que ce qu’avait requis le rapporteur (6 millions d’euros) lors de l’audience en décembre dernier, l’amende est bien inférieure aux 60 millions d’euros infligés à Meta et il y a peu à Microsoft ou à la note de 150 millions d’euros adressée à Google.

Mais dans cette affaire, la directive européenne e-privacy s’appliquait, et non le plus exigeant règlement européen sur la protection des données personnelles (RGPD). La CNIL a aussi retenu plusieurs circonstances atténuantes. D’abord, les manquements ont été corrigés par Apple avant même la fin de la procédure. Ensuite, le dépôt de l’identifiant publicitaire étaient destinés à nourrir un système de personnalisation des publicités basés sur le comportement de cohortes d’utilisateurs et non un système individualisé, plus intrusif.

Lors de l’audience, Apple s’était défendu en niant toute gravité à la violation de la loi qui lui était reprochée et avait demandé la non-publicité d’une éventuelle sanction. « Nous sommes déçus par cette décision, la CNIL ayant précédemment reconnu que la façon dont nous diffusons les annonces dans l’App Store donne la priorité à la protection de la vie privée des utilisateurs », a réagi l’entreprise. Dans un court communiqué, la société annonce son intention de faire appel.

Florian Dèbes. 4 janv. 2023

La CNIL a adressé une importante sanction à l’encontre du Groupe CANAL+ !

La CNIL a reçu 31 plaintes émanant de personnes qui ont éprouvé des difficultés pour faire valoir leurs droits vis-à-vis de la société spécialisée dans l’édition de chaînes et la distribution d’offres de télévision payante, à savoir le GROUPE CANAL+. Ces plaintes portaient sur des questions liées à la prospection téléphonique, la divulgation de données bancaires et l’exercice de leurs droits.

À la suite des constatations effectuées lors des inspections menées par la formation restreinte de la CNIL, il a été conclu que la société avait enfreint plusieurs obligations prévues par le RGPD ainsi que le code des postes et des communications électroniques (CPCE).

Voici la liste des manquements retenus :

– Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD)

– Des manquements à l’obligation d’information (articles 13 et 14 du RGPD) et au respect de l’exercice des droits (articles 12 et 15 du RGPD)

– Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD)

– Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

– Un manquement à l’obligation de notifier à la CNIL une violation de données (article 33 du RGPD)

Au regard de ces informations, la CNIL a prononcé une amende de 600 000 € à l’encontre du Groupe CANAL + et l’a rendue publique.

Le montant de cette amende a été décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité.