Chaque Etat membre de l’Union européenne dispose d’une autorité de contrôle en matière de protection des données personnelles (en France, il s’agit de la Commission Nationale de l’Informatique et des Libertés ou Cnil). Ce régulateur accompagne les organismes dans leur mise en conformité et protège les particuliers afin de les aider à mieux maîtriser leurs données personnelles.
Suite à un contrôle ou une plainte, et en cas de méconnaissance des dispositions du Règlement général sur la protection des données (RGPD), l’autorité peut décider de mettre en demeure les organismes de se conformer au règlement dans un délai imparti, ou de les sanctionner.
En vertu de l’article 58 du RGPD, chaque autorité de contrôle peut, entre autres, ordonner à un responsable de traitement ou un sous-traitant de mettre un traitement en conformité ou de satisfaire aux demandes d’exercice des droits des personnes, limiter temporairement ou définitivement un traitement, ou encore imposer une amende administrative.
A chaque manquement son plafond
Depuis l’arrivée du RGPD, le montant des sanctions pécuniaires est plus élevé et gradué selon le type de violation constatée.
Ainsi, le règlement prévoit jusqu’à 10 millions d’euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total pour des manquements liés notamment aux obligations du responsable du traitement et du sous-traitant concernant, entre autres, les principes de protection des données dès la conception et par défaut (« privacy by design / privacy by default »), le registre des activités de traitement, la sécurité des données, la notification des violations de données, la réalisation d’analyses d’impact, etc.
Par ailleurs, il est prévu jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires mondial total pour des manquements liés aux principes fondamentaux applicables au traitement des données personnelles, aux droits dont bénéficient les personnes concernées, aux transferts de données personnelles en dehors de l’Union européenne ou aux obligations prévues par le droit national de l’Etat membre.
Pour information, le plafond des amendes administratives prévu par la loi Informatique et Libertés du 6 janvier 1978 n’excédait pas 150 000 euros (et, en cas de récidive dans les cinq ans, 300 000 euros). Ce plafond avait été augmenté par la loi pour une République Numérique du 7 octobre 2016 à 3 millions d’euros.
Quelle conséquence sur les montants des amendes prononcées ?
C’est un centre hospitalier portugais qui a écopé de la première sanction RGPD, avec une amende de 400 000 euros. L’autorité de contrôle en charge de la protection des données personnelles au Portugal a ainsi relevé un problème concernant la politique d’accès du personnel de l’hôpital aux données des patients.
Dans les mêmes temps, le réseau social allemand Knuddels s’est vu imposer la deuxième sanction pécuniaire sur la base du RGPD, d’un montant de 20 000 euros, pour le stockage de mots de passe non chiffrés.
Les montants de ces sanctions correspondent aux sanctions que la Cnil, par exemple, a pu prononcer en France sur l’année 2018 : 30 000 euros pour l’association Alliance Française Paris Ile de France ou encore pour l’OPH de Rennes, 10 000 euros pour une société spécialisée dans la télésurveillance d’ascenseurs et de parkings, 50 000 euros pour la société Dailymotion, 75 000 euros pour une association de mise à dispositions de logements, 100 000 euros pour Darty, …
Les montants de l’ensemble de ces sanctions restent ainsi peu élevés au regard du maximum déjà prévu par la loi Informatique et Libertés depuis 2016 (3 millions d’euros).
Les nouvelles dispositions du RGPD ne semblent donc pas plus inciter les autorités de contrôle européennes à sanctionner plus fortement les organismes sur le plan financier, qui continuent à privilégier l’accompagnement des organismes dans leur mise en conformité. C’est ce qu’illustre notamment la décision relativement clémente rendue par l’autorité allemande de protection des données concernant le réseau social Knuddels, qui met en avant la prise en compte de la transparence, la collaboration et la rapidité à réagir du réseau social.
Pour aller plus loin :
Informations sensibles : protéger vos analyses d’impact RGPD !
GDPR/RGPD : Focus sur le registre des activités de traitement
Crédits photo : Stockvault – Law gavel
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?