Les leçons à tirer des dernières amendes liées au RGPD

3 décembre 2019 / Pat Dawson Ces dernières semaines ont été mouvementées en termes de protection de la confidentialité des données. À la suite des amendes infligées à Marriott et à British Airways il y a quelques mois, il y a eu une légère – très légère – accalmie. Depuis la fin du mois d’octobre, deux nouvelles amendes ont été imposées, ce qui donne une leçon instructive aux organisations qui cherchent à éviter un sort similaire. La première amende, infligée à la société allemande de gestion immobilière Deutsche Wohnen le 30 octobre 2019, s’élevait à 14,5 millions d’euros. Sur la base des déclarations publiées par le commissaire de Berlin, en charge de la protection des données et de la liberté d’information, Deutsche Wohnen a illégalement tenu à jour une vaste base de données contenant des informations détaillées sur les locataires. Ces informations comprenaient des données personnelles et financières. L’amende fait suite à des avertissements qui ont été adressés à Deutsche Wohnen en 2017 concernant leurs pratiques en matière d’archivage de données. La leçon à tirer de Deutsche Wohnen est importante. L’amende infligée à l’organisation ne découlait pas d’une atteinte à la protection des données ou d’une mauvaise utilisation de données sensibles. L’entreprise a reçu l’amende pour mauvaises pratiques de gestion des renseignements sensibles. En effet, la sanction initiale en cause était de 28 millions d’euros, ce montant ayant été réduit au motif qu’aucun préjudice réel n’avait été causé aux personnes concernées. La deuxième amende infligée au cours des dernières semaines vient de France. Le 21 novembre 2019, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné la petite entreprise énergétique Futura Internationale (environ 100 salariés) par une amende de 500 000 euros. Futura Internationale a utilisé des données sensibles à des fins de marketing direct, communiquant avec les sujets par téléphone ou par marketing numérique sans fournir de moyen de réponses aux demandes d’accès des sujets (DAS) pour la divulgation, la modification ou la suppression de données. En effet, au moins un sujet portant plainte contre Futura Internationale est allé jusqu’à se rendre au siège social de l’entreprise pour ne plus recevoir d’appels, en vain. Les cas comme Futura Internationale sont d’une importance cruciale pour les petites et moyennes entreprises, à savoir que le RGPD ne s’applique pas seulement aux grandes entreprises. Le RGPD est une nouvelle réalité qui touche toutes les entreprises, quelle que soit leur échelle d’exploitation. Il s’agit d’être diligent en ce qui concerne les systèmes et les processus nécessaires et mis en place pour protéger les données sensibles et assurer le traitement rapide des demandes d’accès par sujet. C’est un coût pour faire des affaires. Bien faite, une bonne gestion des données a le potentiel de fidéliser la clientèle, d’améliorer l’image de marque et d’accroître les revenus de l’entreprise. Depuis sa publication en mai 2018, le RGPD a changé le paysage de la gouvernance de l’information. Ce qui était autrefois un domaine largement théorique est devenu pour beaucoup d’entreprises trop tangible par le biais d’amendes ou de publicité négative. Everteam travaille avec certaines des plus grandes entreprises privées et organisations publiques du monde pour les aider à s’adapter à la nouvelle réalité de la gouvernance de l’information et à dépasser les attentes des clients et des organismes de réglementation en matière de protection des informations sensibles tout au long de leur cycle de vie. Pour plus d’informations sur la gouvernance, abonnez-vous à la newsletter Everteam.

Sources https://www.teiss.co.uk/real-estate-firms-gdpr-fine/ https://www.lexology.com/library/detail.aspx?g=3aadcb1a-b134-4570-9518-f3829c941b56