Analyse des décisions des autorités de protection des données

Année 2023

• WHATSAPP sanctionnée pour avoir traité les données de ses utilisateurs de manière déloyale

  L’application de messagerie de Facebook (Meta) justifiait tous les traitements de données par la conclusion d’un contrat passé avec ses utilisateurs.

  • 12 janvier
  • DPC (Irlande)
  • 5,5 millions €

Année 2022

• APPLE sanctionné pour avoir utilisé des traceurs publicitaires dans les iPhone et iPad sans le consentement des personnes

  La personnalisation des publicitées au sein de l’App Store était activée par défaut dans iOS 14.6, sans informer les utilisateurs lors de l’initialisation de l’appareil.

  • 29 décembre 2022
  • CNIL (France)
  • 8 millions €

• L’éditeur de jeux VOODOO sanctionné pour avoir collecté des données à des fins publicitaires sans le consentement des personnes

  Les jeux pour téléphones Apple édités par la société collectait des données techniques à des fins publicitaires même si les personnes s’y opposaient

  • 29 décembre 2022
  • CNIL (France)
  • 3 millions €

• TIKTOK sanctionné pour n’avoir pas permis de refuser facilement les cookies sur TIKTOK.COM

  La plateforme de vidéos proposait uniquement d’accepter les cookies en un clic et utilisait des termes vagues pour décrire leurs finalités.

  • 29 décembre 2022
  • CNIL (France)
  • 5 millions €

• MICROSOFT sanctionné pour avoir utilisé des cookies publicitaires sur le site BING.COM sans le consentement des visiteurs

  Un cookie multi-finalités étaient déposé dès le chargement de la page et les modalités de refus de ces cookies n’étaient pas claires.

  • 19 décembre 2022
  • CNIL (France)
  • 60 millions €

• EDF sanctionné pour l’envoi d’e-mails de prospection, un manque de transparence et des manquements de sécurité

  Le premier fournisseur d’électricité français envoyait des e-mails sans le consentement des personnes, communiquait des informations vagues et imprécises, et stockait des mots de passe sans mesures adaptées.

  • 24 novembre 2022
  • CNIL (France)
  • 600 000 €

• L’opérateur FREE sanctionné pour de nombreux manquements de sécurité et pour n’avoir pas respecté les droits de ses clients

  L’opérateur français ne stockait et transmettait les mots de passe de ses clients sans chiffrement, ne traitaient pas des demandes de suppression de données et ne souhaitaient communiqué la source des données traitées.

  • 30 octobre 2022
  • CNIL (France)
  • 300 000 €

• FACEBOOK sanctionné pour n’avoir pris des mesures suffisantes pour assurer la protection des données de ses utilisateurs

  Les réseaux Facebook et Instagram intégraient une fonctionnalité de recherches de contacts qui a permis d’extraire des données sur 533 millions de personnes.

  • 25 octobre 2022
  • DPC (Irlande)
  • 265 millions €

• INSTAGRAM sanctionné pour avoir publié les coordonnées de mineurs

  Le réseau social édité par Facebook permettaient aux mineurs de diffuser facilement leurs coordonnées sans les informer des graves conséquences de ce choix.

  • 15 septembre 2022
  • DPC (Irlande)
  • 405 millions €

• Le groupement des greffes des Tribunaux de commerce INFOGREFFE sanctionné pour n’avoir pas correctement sécurisé les données des utilisateurs du site INFOGREFFE.FR

  Les mots de passe des 3,7 millions d’utilisateurs étaient stockés et transmis en clair. Les données des utilisateurs inactifs n’était pas supprimées.

  • 8 septembre 2022
  • CNIL (France)
  • 250 000 €

• Le vendeur SEPHORA sanctionné pour avoir vendu les données personnelles de ses clients sans les informer

  Le marchand de cosmétique permettait à des tiers de collecter des données sur les utilisateurs de son site Web et de son application mobile.

  • 24 août 2022
  • Californie (États-Unis)
  • 1,2 million €

• Le vendeur SEPHORA sanctionné pour avoir envoyé des SMS publicitaires à une personne qui s’y était opposée

  Le spécialiste de parfums et cosmétique n’a pas tenu compte des multiples demandes d’opposition de la personne.

  • 4 août 2022
  • ANSPDCP (Roumanie)
  • 2 000 €

• Le groupe hôtelier ACCOR sanctionné pour l’envoi d’e-mails de prospection sans consentement, un manque d’information et des manquements de sécurité

  La CNIL a finalement été contraint d’infliger une amende au groupe hotelier français, suite à une procédure du Comité européen à son encontre initiée par la Commission polonaise.

  • 3 août 2022
  • CNIL (France)
  • 600 000 €

• Le constructeur automobile VOLKSWAGEN sanctionné pour avoir filmé la circulation avec des véhicules munis de caméras sans informer les usagers de la route et sans évaluer les risques

  Le constructeur testait et entraînait son système d’aide à la conduite sans se soucier des obligations relative à la protection des données : pas d’information aux usagers, pas d’analyse d’impact et pas de contrat avec le sous-traitant qui pilotait les véhicules.

  • 26 juillet 2022
  • LfD (Basse-Saxe)
  • 1,1 million €

• La municipalité danoise de Helsingor réprimandée suite à l’utilisation de Chromebook et de Google Workspace for Education dans les écoles

  L’utilisation des appareils et logiciels de Google a été interdite, à cause notamment de transferts de données personnelles vers les États-Unis.

  • 14 juillet 2022
  • Datatilsynet (Danemark)

• La société d’auto-partage d’EUROPCAR, Ubeeqo, sanctionnée pour avoir collecté la position GPS des véhicules loués

  La localisation des voitures louées était enregistrée en quasi-permanence et conservée pendant au moins trois ans.

  • 7 juillet 2022
  • CNIL (France)
  • 175 000 €

• Le pétrolier TOTAL ENERGIES sanctionné pour avoir effectué des campagnes de prospection sans le consentement des personnes

  Les données des personnes étaient collectées sans possibilité de s’opposer à la prospection, les appels téléphoniques étaient enregistres sans fournir une information adaptée et les droits de nombreuses personnes n’étaient pas respectés.

  • 23 juin 2022
  • CNIL (France)
  • 1 million €

• Trois sites d’information du groupe ROSSEL (LESOIR.BE, SUDINFO.BE et SUDPRESSEDIGITAL.BE) sanctionnés pour avoir utilisé des cookies publicitaires sans le consentement des visiteurs

  Le groupe de presse belge n’obtenait pas le consentement des personnes, proposait des informations partielles ou peu accessibles et rendait le retrait du consentement difficile.

  • 16 juin 2022
  • APD (Belgique)
  • 50 000 €

• Deux sites d’information du groupe ROULARTA MEDIA (LEVIF.BE et KNACK.BE) sanctionnés pour avoir utilisé des cookies publicitaires sans le consentement des visiteurs

  Le média belge n’obtenait pas le consentement des personnes et proposait des informations partielles ou erronées.

  • 25 mai 2022
  • APD (Belgique)
  • 50 000 €

• L’éditeur DEDALUS sanctionné pour n’avoir pas correctement sécurisé des données personnelles et médicales

  Les manquements de sécurité du spécialiste des logiciels pour laboratoires d’analyses médicales ont conduit à la divulgation des données personnelles et médicales de près de 500 000 personnes.

  • 15 avril 2022
  • CNIL (France)
  • 1,5 million €

• Le cabinet de recrutement MICHAEL PAGE sanctionné pour avoir conditionné l’accès aux données à un justificatif d’identité

  Le cabinet spécialisé dans le recrutement de cadres demandait systématiquement un justificatif d’identité, alors que les demandes émanaient des adresses e-mails d’utilisateurs inscrits.

  • 25 février 2022
  • AEPD (Espagne)
  • 300 000 €

• Un éditeur mis en demeure pour avoir collecté des données personnelles avec le module Google Analytics

  Les données collectées étaient envoyées aux États-Unis, pays qui ne garantit pas une protection des données équivalente au RGPD.

  • 10 février 2022
  • CNIL (France)

• L’association représentant la publicité digitale, IAB EUROPE, sanctionnée pour avoir conçu et utilisé un standard non conforme

  Le standard TCF (Transparency & Consent Framework) créé par l’organisation et utilisé par la quasi-totalité des sites Internet ne respecte pas les exigences du RGPD.

  • 2 février 2022
  • APD (Belgique)

• L’association EU DISINFOLAB sanctionnée pour avoir collecté, analysé et divulgué des données de comptes Twitter à des fins de profilage politique

  L’association belge collectait des données sur des comptes Twitter pour réaliser une étude en rapport avec l’affaire « Benalla » puis les publiées.

  • 27 janvier 2022
  • APD (Belgique)

Année 2021

• FACEBOOK sanctionné pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter

  La bannière de consentement du réseau était volontairement ambigüe pour inciter les utilisateurs à accepter les cookies publicitaires.

  • 31 décembre 2021
  • CNIL (France)
  • 60 millions €

• GOOGLE sanctionné pour n’avoir pas permis de refuser facilement les cookies sur les sites GOOGLE.FR et YOUTUBE.COM

  Le géant américain récidive en l’absence d’un bouton permettant aux visiteurs de refuser les cookies publicitaires

  • 31 décembre 2021
  • CNIL (France)
  • 150 millions €

• L’opérateur FREE MOBILE sanctionné pour n’avoir pas correctement traité les demandes de ses clients relatives à leurs données personnelles

  L’opérateur français aux 13 millions d’abonnés a commis des erreurs dans le traitement des demandes de droit ses clients. Il envoyait aussi les mots de passe d’accès à l’espace personnel par courrier papier.

  • 28 décembre 2021
  • CNIL (France)
  • 300 000 €

• La société SLIMPAY sanctionnée pour n’avoir pas sécurisé les données bancaires de ses clients

  L’établissement agréé de paiement en ligne a utilisé les données de ses clients pour des études internes puis les a laissées sur un serveur accessible publiquement. 12 millions de clients sont concernés.

  • 28 décembre 2021
  • CNIL (France)
  • 180 000 €

• Un magasin sanctionné pour n’avoir pas donné suite aux demandes d’information de l’autorité de contrôle

  Un magasin roumain spécialisé dans les compléments alimentaires naturels n’a pas fourni d’explications aux autorités qui enquêtaient sur l’envoi de SMS commerciaux non sollicités.

  • 13 décembre 2021
  • ANSPDCP (Roumanie)
  • 2 000 €

• GRINDR sanctionnée pour avoir collecté et divulgué des données sur ses utilisateurs sans consentement valide

  L’application mobile destinée à la communauté LGBTQ collectait et vendait les données de ses utilisateurs à de nombreux annonceurs sans respecter les exigences du RGPD en terme de consentement.

  • 13 décembre 2021
  • Datatilsynet (Norvège)
  • 6,3 millions €

• L’université de Varsovie (Pologne) sanctionnée pour n’avoir pas suffisamment sécurisé les données personnelles de ses étudiants

  Suite à une attaque informatique, les données personnelles des étudiants et du personnel ont été dérobées, mettant en lumière de nombreux manquements de sécurité.

  • 9 décembre 2021
  • UODO (Pologne)
  • 9 900 €

• La société CLEARVIEW AI mise en demeure pour avoir collecté des photos publiques sur le Web sans le consentement des personnes

  L’éditeur américain spécialisé dans les logiciels de reconnaissance faciale récupérait des milliards d’images sur le Web afin d’alimenter sa base de données.

  • 26 novembre 2021
  • CNIL (France)

• Le centre d’appel VALORIS CENTER sanctionné suite à la divulgation accidentelle de données personnelles appartenant à son fournisseur

  Un centre d’appel, sous-traitant d’une banque roumanine, avait transmis les données de 11 000 clients de la banque à un client de la banque.

  • 26 novembre 2021
  • ANSPDCP (Roumanie)
  • 2 000 €

• La RATP sanctionnée pour n’avoir pas restreint l’accès aux données personnelles de ses salariés

  L’exploitant des transports en commun parisien permettait à de nombreuses personnes de consulter des données sur ses salariés, notamment le nombre de jours de grève, et de les utiliser pour évaluer les salariés.

  • 29 octobre 2021
  • CNIL (France)
  • 400 000 €

• Une société sanctionnée car son Délégué à la Protection des Données n’était pas en mesure de contrôler le respect du RGPD

  Le positionnement du DPD et ses actions n’étaient pas conformes aux exigences du RGPD. Ses coordonnées n’étaient pas non plus communiquées.

  • 27 octobre 2021
  • CNPD (Luxembourg)
  • 18 700 €

• Une entreprise autorisée à communiquer la retranscription des appels enregistrés plutôt que le son original

  Une personne, qui avait demandé à recevoir une copie de ses données personnelles, souhaitait savoir s’il était acceptable de recevoir une transcription des appels plutôt que le son de sa voix.

  • 21 octobre 2021
  • TT (Finlande)

• Une société rappelée à l’ordre pour le conflit d’intérêts de son Délégué à la Protection des Données

  Le DPD de la société était en mesure de définir les traitements effectuées, mais aussi de les contrôler.

  • 13 octobre 2021
  • CNPD (Luxembourg)

• La société FRANCETEST mise en demeure pour n’avoir pas suffisamment sécurisé des données de santé

  L’éditeur d’un site Internet de traitement des résultats de tests COVID à destination des pharmaciens n’avait pas pris les mesures nécessaires pour sécuriser les données des patients.

  • 4 octobre 2021
  • CNIL (France)

• Le Ministère de l’Intérieur rappelé à l’ordre à propos du Fichier Automatisé des Empreintes Digitales (FAED)

  Le Ministère conservait illicitement les empreintes digitales ainsi que d’autres données personnelles.

  • 24 septembre 2021
  • CNIL (France)

• ANNUAIREFRANCAIS.FR sanctionné pour n’avoir pas correctement traité les demandes de droits des internautes

  L’éditeur ne respectait pas les demandes de suppression des données des internautes sous prétexte que les données était publiquement accessibles.

  • 15 septembre 2021
  • CNIL (France)
  • 3 000 €

• WHATSAPP sanctionnée pour avoir manqué de transparence sur la façon dont les données personnelles étaient traitées

  L’application de messagerie de Facebook traitait les données de ses utilisateurs, mais aussi les données de personnes qui n’utilisaient pas l’application, sans les informer correctement.

  • 20 août 2021
  • DPC (Irlande)
  • 225 millions €

• Le journal LE FIGARO sanctionné pour avoir utilisé des cookies publicitaires sans informer les internautes

  Le site LEFIGARO.FR utilisait des cookies à des fins publicitaires sans le consentement des utilisateurs.

  • 27 juillet 2021
  • CNIL (France)
  • 50 000 €

• La société MONSANTO sanctionnée pour avoir collecté des données sur des personnalités publiques influentes sans les informer

  Le spécialiste des produits chimiques agricoles avait réalisé une liste de personnalités dans le but de réaliser des activités de lobbying sur l’utilisation du glyphosate en Europe, mais n’avait pas informé les personnes concernées de ce traitement.

  • 26 juillet 2021
  • CNIL (France)
  • 400 000 €

• L’assureur AG2R LA MONDIALE sanctionné pour avoir conservé trop longtemps des données personnelles sur ses clients et prospects

  L’assureur ne supprimait pas les données de ses clients et enregistraient les appels téléphoniques avec ses prospects sans les informer.

  • 20 juillet 2021
  • CNIL (France)
  • 1,75 million €

• AMAZON sanctionné pour des manquements au RGPD

  Le géant du e-commerce ciblait illicitement les personnes à des fins publicitaires, sans leur consentement, sans les informer et sans qu’ils puissent s’y opposer.

  • 16 juillet 2021
  • CNPD (Luxembourg)
  • 746 millions €

• BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité

  Le spécialiste de la vente en ligne de matériel de bricolage ne supprimait pas les données de ses clients et prospects, ne protégeait pas sufisamment les données, envoyait des e-mails promotionnels sans le consentement des personnes et utilisait des cookies sans l’accord des internautes.

  • 12 juin 2021
  • CNIL (France)
  • 500 000 €

• La société FOODINHO sanctionnée suite au traitement illicite des données personnelles de ses livreurs

  La société ne communiquait pas d’informations claires sur les traitements effectués, notamment sur les algorithmes utilisés. Elle conservait aussi les données personnelles des livreurs sans raison et permettait à de nombreuses personnes de consulter les données.

  • 10 juin 2021
  • GPDP (Italie)
  • 2,6 millions €

• L’aéroport de Bologne (Italie) sanctionné pour avoir traité des données personnelles sans chiffrement

  La société en charge de l’exploitation de l’aéroport n’avait pas pris les mesures pour assurer la confidentialité des données de son application destinée aux lanceurs d’alertes.

  • 10 juin 2021
  • GPDP (Italie)
  • 40 000 €

• Le Ministère de l’Intérieur rappelé à l’ordre suite à l’enregistrement d’images de la population avec des drones

  Le Ministère enregistrait illicitement des images non floutées de la population à l’aide de drones équipés d’objectifs de haute définition.

  • 12 janvier 2021
  • CNIL (France)

• L’opticien OPTICAL CENTER sanctionné pour n’avoir pas correctement sécurisé son site OPTICAL-CENTER.FR

  Les vulnérabilités présentes sur son site Internet ont conduit à la divulgation des données personnelles de près de 200 000 clients de la société.

  • 6 janvier 2021
  • CNIL (France)
  • 250 000 €

Année 2020

• TWITTER sanctionné pour avoir déclaré tardivement la divulgation de données personnelles

  Le réseau social avait déclaré avec 2 jours de retard la divulgation de tweets privés de certains de ses utilisateurs.

  • 15 décembre 2020
  • DPC (Irlande)
  • 450 000 €

• BOOKING.COM sanctionné pour avoir déclaré tardivement la divulgation de données personnelles

  Le site de réservation avait déclaré avec 22 jours de retard un accès illégitime à sa plateforme.

  • 10 décembre 2020
  • AP (Pays-Bas)
  • 475 000 €

• La société NESTOR sanctionnée pour avoir constitué une base de prospects à partir de données disponibles sur LinkedIn et pour avoir utilisé ces données pour envoyer des e-mails publicitaires

  La société spécialisée dans la livraison de déjeuners d’affaires pour les professionnels envoyait de nombreux e-mails pour faire la promotion de son site NESTORPARIS.COM et de ses services.

  • 8 décembre 2020
  • CNIL (France)
  • 20 000 €

• La société PERFORMECLIC sanctionnée pour avoir envoyé massivement des e-mails publicitaires sans le consentement des destinataires

  La société spécialisée dans l’envoi de prospection commerciale par e-mail avait acheté une base de données d’e-mails et l’utilisait pour réaliser des campagnes publicitaires pour ses clients.

  • 7 décembre 2020
  • CNIL (France)
  • 7 300 €

• Un chirurgien orthopédiste sanctionné pour n’avoir pas sécurisé les données médicales de ses patients

  Les images médicales de ses patients étaient librement accessibles sur Internet, sans aucune protection.

  • 7 décembre 2020
  • CNIL (France)
  • 2 500 €

• AMAZON sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes

  Le géant de la vente en ligne utilisait des cookies publicitaires et marketing sur son site AMAZON.FR sans l’accord préalable de ses visiteurs.

  • 7 décembre 2020
  • CNIL (France)
  • 35 millions €

• GOOGLE sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes

  Le géant américain utilisait des cookies publicitaires et marketing sur son site GOOGLE.FR sans le consentement des utilisateurs. Des cookies étaient aussi utilisés même si l’internaute s’y oppposait.

  • 7 décembre 2020
  • CNIL (France)
  • 100 millions €

• CARREFOUR BANQUE sanctionnée pour avoir partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles

  La filiale bancaire de Carrefour partagait avec les magasins Carrefour les données des clients et ne détaillait pas les traitements effectués.

  • 18 novembre 2020
  • CNIL (France)
  • 800 000 €

• CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements

  La gestion laborieuse des données par le géant de la grande distribution, notamment : conservation illicite de données, manque de transparence, sécurité trop faible et utilisation illicite de cookies sur CARREFOUR.FR.

  • 18 novembre 2020
  • CNIL (France)
  • 2,25 millions €

• La compagnie aérienne BRITISH AIRWAYS sanctionnée pour n’avoir pas suffisamment sécurisé les données personnelles de ses clients

  La compagnie anglaise a fait face à une attaque informatique qui mis en lumière les faiblesses de sécurité de son système informatique.

  • 16 octobre 2020
  • ICO (Royaume-Uni)
  • 22 millions €

• Deux municipalités danoises sanctionnées car les disques de ses ordinateurs n’étaient pas chiffrés

  Les municipalités n’avaient pas correctement sécurisé les données personnelles de ses citoyens et s’étaient fait voler deux ordinateurs contenant ces données.

  • 3 octobre 2020
  • Datatilsynet (Danemark)
  • 20 000 €

• La société H&M sanctionnée pour avoir collecté et traité illicitement des données personnelles sur ses salariés

  Des chefs d’équipe de ses bureaux de Nuremberg notaient, en toute illégalité, des informations sur les employés, sur leur état de santé et sur leurs activités extra-professionnelles.

  • 1 octobre 2020
  • HmbBfDI (Hambourg)
  • 35,26 millions €

• Le rectorat de l’académie de Normandie rappelé à l’ordre pour avoir divulgué des données personnelles sur des lycéens

  Le rectorat de l’Éducation nationale avait communiqué des données personnelles des lycéens de son académie à une députée.

  • 3 septembre 2020
  • CNIL (France)

• Une députée rappelée à l’ordre pour avoir traité illicitement les données personnelles des lycéens de sa circonscription

  La députée de l’Assemblée Nationale souhaitait avait demandé au rectorat de son académie de lui envoyer la liste des bacheliers pour leur envoyer des courriers de félicitations.

  • 3 septembre 2020
  • CNIL (France)

• SPARTOO sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité

  Le spécialiste de la vente à distance de chaussures conservait les données sur ses clients sans limite de durée et enregistrait tous les appels téléphoniques de ses salariés.

  • 28 juillet 2020
  • CNIL (France)
  • 250 000 €

• L’opérateur téléphonique WINDTRE sanctionné pour avoir envoyé des messages publicitaires à ses abonnés sans consentement valable

  L’opérateur italien recourait à des pratiques très douteuses pour obtenir le consentement des abonnés et gérait très mal les demandes d’opposition.

  • 9 juillet 2020
  • GPDP (Italie)
  • 16,73 millions €

• Le site d’e-learning GOKOAN rappelé à l’ordre pour avoir exigé un justificatif d’identité sans raison valable

  La société réclamait une copie de la carte d’identité uniquement lorsque ses utilisateurs demandaient la suppression de leurs données à caractère personnel.

  • 16 juin 2020
  • AEPD (Espagne)

• La société JOBTEAM sanctionnée pour avoir supprimé les données d’une personne qui avait demandé à les consulter

  La société spécialisée dans le recrutement n’avait pas donné suite à la demande d’accès aux données à caractère personnel de la personne et avait supprimé les données.

  • 15 mai 2020
  • Datatilsynet (Danemark)
  • 6 700 €

• La société ELECTRIC RENTING GROUP sanctionnée pour avoir divulgué les adresses e-mails de prospects

  Le loueur espagnol de véhicules electriques avait envoyé un e-mail promotionnel à des dizaines destinataires sans mettre leurs adresses en copie cachée.

  • 21 février 2020
  • AEPD (Espagne)
  • 2 500 €

Année 2019

• La société FUTURA INTERNATIONALE sanctionnée pour avoir réalisé une prospection commerciale par téléphone sans respecter les droits et données des personnes

  La société spécialisée dans la rénovation énergétique ne prenait pas en compte les demandes d’opposition, conservait des données insultantes sur les prospects, transférait les données vers des divers pays et ne cooporait que très peu avec la CNIL.

  • 21 octobre 2019
  • CNIL (France)
  • 500 000 €

• L’agence de traduction UNIONTRAD COMPANY sanctionnée pour avoir enregistré en permanence ses salariés avec des caméras de vidéosurveillance

  La société filmait ses salariés en permanence de 2013 à 2019, sans justification valable.

  • 18 juillet 2019
  • CNIL (France)
  • 20 000 €

• Le courtier en assurances ACTIVE ASSURANCES sanctionné pour n’avoir pas sécurisé l’accès aux contrats de ses clients sur son site ACTIVEASSURANCES.FR

  Les contrats et documents administratifs de plus de 100 000 clients étaient publiquement accessibles sur Internet de 2014 à 2019.

  • 18 juillet 2019
  • CNIL (France)
  • 180 000 €

• L’agence immobilière SERGIC sanctionnée pour ne pas avoir restreint l’accès aux documents personnels des postulants aux locations

  Les documents administratifs de 29 440 personnes qui candidataient pour des locations sur SERGIC.COM étaient publiquement accessibles.

  • 28 mai 2019
  • CNIL (France)
  • 400 000 €

• La banque ING sommée d’accepter les caractères accentués dans le nom de ses clients

  La banque n’acceptait pas de modifier son système informatique, car le changement était couteux.

  • 15 mai 2019
  • APD (Belgique)

• GOOGLE sanctionné pour n’avoir pas correctement informé les utilisateurs d’appareils Android

  Les informations fournies aux utilisateurs ne leur permettaient pas de comprendre les nombreux traitements réalisés par Google

  • 21 janvier 2019
  • CNIL (France)
  • 50 millions €

Année 2018

• L’opérateur BOUYGUES TELECOM sanctionné pour n’avoir pas sécurisé l’accès aux contrats de ses clients sur son site BOUYGUESTELECOM.FR

  Les contrats de plus de 2 millions de clients étaient publiquement accessibles sur le site de la société pendant plus de deux ans.

  • 26 décembre 2018
  • CNIL (France)
  • 250 000 €

• UBER sanctionné pour n’avoir pas correctement sécurisé l’accès aux données de ses clients et chauffeurs

  Des attaquants ont réussi à dérober les données de 57 millions d’utilisateurs de la plateforme de VTC en profitant des négligences de la société en matière de sécurité.

  • 19 décembre 2018
  • CNIL (France)
  • 400 000 €

• L’opticien OPTICAL CENTER sanctionné pour n’avoir pas restreint l’accès aux factures et bons de commande sur son site OPTICAL-CENTER.FR

  Un manque de sécurité de son site Internet permettait d’accéder publiquement et simplement à plus de 300 000 factures et bons de commandes de la société.

  • 7 mai 2018
  • CNIL (France)
  • 200 000 €

Année 2015

• L’opticien OPTICAL CENTER sanctionné pour n’avoir pas correctement sécurisé les mots de passe de ses clients et salariés

  Les mots de passe des clients du site OPTICAL-CENTER.FR étaient transmis sans chiffrement, la politique des mots de passe des salariés était inexistante et l’accès aux systèmes de l’entreprise n’était pas protégé par une authentification forte.

  • 5 octobre 2015
  • CNIL (France)
  • 50 000 €

• Les magasins BOULANGER mis en demeure suite à l’utilisation d’une centaine de cookies publicitaires sur son site BOULANGER.COM sans le consentement des visiteurs

  Les magasins spécialisés dans le multimédia et l’électroménager déposait les cookies dès l’arrivée de l’internaute sur BOULANGER.COM et se contenait d’une information sommaire.

  • 26 juin 2015
  • CNIL (France)

Année 2011

• Les PAGES JAUNES averties pour avoir collecté sur les réseaux sociaux des données et diffusé ces données sur son site PAGESJAUNES.FR

  Des données personnelles sur 25 millions de personnes étaient collectées et diffusées sans informer les personnes.

  • 21 septembre 2011
  • CNIL (France)