Analyse des décisions des autorités de protection des données européennes

Année 2021

• La RATP sanctionnée pour n’avoir pas restreint l’accès aux données personnelles de ses salariés

  L'exploitant des transports en commun parisien permettait à de nombreuses personnes de consulter des données sur ses salariés, notamment le nombre de jours de grève, et de les utiliser pour évaluer les salariés.

  • 29 octobre
  • CNIL (France)
  • 400 000 €
• La société FRANCETEST mise en demeure pour n’avoir pas suffisamment sécurisé des données de santé

  L'éditeur d'un site Internet de traitement des résultats de tests COVID à destination des pharmaciens n'avait pas pris les mesures nécessaires pour sécuriser les données des patients.

  • 4 octobre
  • CNIL (France)
• Le Ministère de l’Intérieur rappelé à l’ordre à propos du Fichier Automatisé des Empreintes Digitales (FAED)

  Le Ministère conservait illicitement les empreintes digitales ainsi que d'autres données personnelles.

  • 24 septembre
  • CNIL (France)
• ANNUAIREFRANCAIS.FR sanctionné pour n’avoir pas correctement traité les demandes de droits des internautes

  La société ne respectait pas les demandes de suppression des données des internautes sous prétexte que les données était publiquement accessibles.

  • 15 septembre
  • CNIL (France)
  • 3 000 €
• Le journal LE FIGARO sanctionné suite à l’utilisation illicite de cookies

  Le journal en ligne utilisait des cookies à des fins publicitaires sans le consentement des utilisateurs.

  • 27 juillet
  • CNIL (France)
  • 50 000 €
• La société MONSANTO sanctionnée pour avoir collecté des données personnelles sur des personnalités publiques influentes

  Le spécialiste des produits chimiques agricoles avait réalisé une liste de personnalités dans le but de réaliser des activités de lobbying sur l'utilisation du glyphosate en Europe.

  • 26 juillet
  • CNIL (France)
  • 400 000 €
• L’assureur AG2R LA MONDIALE sanctionné pour avoir conservé illicitement des données personnelles sur ses clients.

  L'assureur conservait des données sur les contrats de ses clients plus longtemps que la durée autorisée.

  • 20 juillet
  • CNIL (France)
  • 1,75 million €
• AMAZON sanctionné pour des manquements au RGPD

  Le géant du e-commerce ciblait illicitement les personnes à des fins publicitaires, sans leur consentement, sans les informer et sans qu'ils puissent s'y opposer.

  • 16 juillet
  • CNPD (Luxembourg)
  • 746 millions €
• BRICO-PRIVE.COM sanctionné pour des manquements au RGPD

  Le spécialiste de la vente en ligne de matériel de bricolage avait des mauvaises pratiques de sécurité et une mauvaise politique de conservation des données.

  • 12 juin
  • CNIL (France)
  • 500 000 €
• L’aéroport de Bologne (Italie) sanctionné pour avoir traité des données personnelles sans chiffrement

  La société en charge de l'exploitation de l'aéroport n'avait pas pris les mesures pour assurer la confidentialité des données de son application destinée aux lanceurs d'alertes.

  • 10 juin
  • GPDP (Italie)
  • 40 000 €
• Le Ministère de l’Intérieur rappelé à l’ordre suite à l’utilisation de drones

  Le Ministère enregistrait illicitement des images non floutées de la population.

  • 12 janvier
  • CNIL (France)

Année 2020

• TWITTER sanctionné pour avoir déclaré tardivement la divulgation de données personnelles

  Le réseau social avait déclaré avec 2 jours de retard la divulgation de tweets privés de certains de ses utilisateurs, dû à un bug dans son application.

  • décembre 2020
  • DPC (Irelande)
  • 450 000 €
• BOOKING.COM sanctionné pour avoir déclaré tardivement la divulgation de données personnelles

  Le site de réservation avait déclaré avec 22 jours de retard un accès illégitime à sa plateforme.

  • décembre 2020
  • AP (Pays-Bas)
  • 475 000 €
• La société NESTOR sanctionnée pour avoir envoyé des e-mails publicitaires non sollicités

  La société, spécialisée dans la livraison de déjeuners d'affaires pour les professionnels, s'était constitué illicitement une base de données de prospects en collectant des données sur un réseau social.

  • décembre 2020
  • CNIL (France)
  • 20 000 €
• GOOGLE sanctionné suite à l’utilisation illicite de cookies

  Le moteur de recherche utilisait des cookies à des fins publicitaires et marketing sans l'accord préalable des utilisateurs.

  • décembre 2020
  • CNIL (France)
  • 100 millions €
• AMAZON sanctionné suite à l’utilisation illicite de cookies

  Le géant de la vente en ligne utilisait des cookies à des fins publicitaires et marketing sans l'accord préalable des utilisateurs.

  • décembre 2020
  • CNIL (France)
  • 35 millions €
• Un médecin d’un laboratoire d’analyses médicales sanctionnée pour n’avoir pas sécurisé les données médicales de ses patients

  Les images médicales de ses patients étaient librement accessibles sur Internet, sans aucune protection.

  • décembre 2020
  • CNIL (France)
  • 3 000 €
• La société PERFORMECLIC sanctionnée pour avoir envoyer des e-mails publicitaires non sollicités

  La société, spécialisée dans l'envoi de prospection commerciale par e-mail, collectait illicitement des adresses e-mails et les utilisait pour réaliser des campagnes publicitaires pour ses clients.

  • décembre 2020
  • CNIL (France)
  • 7 300 €
• CARREFOUR sanctionné pour de nombreux manquements au RGPD

  Conservation illicite de données personnelles, non application des droits des clients, manque de transparence sur les traitements effectués, sécurité trop faible, utilisation de cookies sans consentement, ...

  • novembre 2020
  • CNIL (France)
  • 2,25 millions €
• CARREFOUR BANQUE sanctionnée pour des manquements au RGPD

  La filiale bancaire du géant de la grande distribution ne détaillait pas les traitements effectués sur les données personnelles et transmettait des données au programme de fidélité Carrefour.

  • novembre 2020
  • CNIL (France)
  • 800 000 €
• La compagnie aérienne BRITISH AIRWAYS sanctionnée pour n’avoir pas suffisamment sécurisé les données personnelles de ses clients

  La compagnie anglaise a fait face à une attaque informatique ayant mis en lumière les faiblesses de sécurité de son système informatique.

  • octobre 2020
  • ICO (Royaume-Uni)
  • 22 millions €
• Une députée rappelée à l’ordre pour avoir demandé et obtenu des données personnelles sur des lycéens

  La députée de l'Assemblée Nationale souhaitait envoyer des courriers de félicitations aux bacheliers.

  • septembre 2020
  • CNIL (France)
• Le rectorat de l’académie de Normandie rappelée à l’ordre pour avoir divulgué des données personnelles sur des lycéens

  Le rectorat de l'Éducation nationale avait communiqué des données personnelles des lycéens de son académie à une députée.

  • septembre 2020
  • CNIL (France)
• SPARTOO.COM sanctionné pour des manquements au RGPD

  Le spécialiste de la vente en ligne de prêt-à-porter conservait illicitement des données personnelles sur ses clients et salariés, et ne sécurisait pas suffisamment les comptes de ses clients.

  • juillet 2020
  • CNIL (France)
  • 250 000 €

Année 2019

• La banque ING sommée d’accepter les caractères accentués dans le nom de ses clients

  La banque n'acceptait pas de modifier son système informatique, car le changement était couteux.

  • mai 2019
  • APD (Belgique)