Deux ans de RGPD : Un aperçu de l'application, des avertissements et des amendes

Author info

24/06/2020

Il y a environ deux ans que le Règlement général sur la protection des données (mieux connue comme le RGPD) est devenu applicable. Tout comme l'année dernière, il est temps de dresser un premier bilan des mesures d'exécution prises par les autorités de contrôle au cours de l'année écoulée et de faire une prévision de ce à quoi les organisations seront confrontées en termes de protection des données et de RGPD en 2020 et dans les années à venir.

1. Le nombre de dossiers continue d'augmenter

L'année dernière, la APD belge (Autorité de Protection des Données) a annoncé une augmentation exponentielle du nombre de cas en 2018. Les chiffres récemment publiés montrent que cette augmentation se poursuit. Par exemple, au cours de la deuxième année du RGPD, la APD belge a reçu 937 notifications de fuites de données, contre seulement 317 notifications au cours des six premiers mois du RGPD.

Toutefois, la APD belge n'est pas la seule à constater une augmentation, car d'autres autorités de contrôle telles que la APD néerlandaise, la APD britannique, la APD française et la Datenschutzkonferenz (DSK) allemande ont également fait état d'une forte augmentation du nombre de dossiers. D'autres chiffres provenant d'autres autorités de contrôle figurent également dans le document d'évaluation du Comité européen de la protection des données (CEPD).

L'augmentation du nombre de dossiers peut être due à la sensibilisation croissante des citoyens. Les recherches montrent que le nombre de citoyens connaissant l'autorité de contrôle locale a augmenté. Par rapport à 2015, 20 % de plus de citoyens avaient déjà entendu parler de l'autorité de contrôle locale.

2. Objectifs et priorités stratégiques

En raison de l'augmentation du nombre de dossiers, les autorités de contrôle affirment être de plus en plus en sous-effectif. Une partie des APD des Länder allemands et la APD néerlandaise l'ont déclaré ouvertement. Par exemple, la APD néerlandaise est obligée de traiter chaque notification, mais au début de l'année, elle a dû admettre que cela n'était, environ 3 000 plaintes n'auraient pas encore été traitées, selon le ministre compétent. C'est pourquoi la APD néerlandaise travaille avec des priorités, tout comme les autres autorités de contrôle.

La APD belge se concentrera sur la période 2020-2025 :

secteurs prioritaires : le gouvernement, télécommunications et médias, marketing direct, éducation et PME,
les instruments prioritaires du RGPD tels que le rôle du Délégué à la Protection des Données, la légitimité du traitement et les droits des citoyens
les questions de société telles que les photos et les appareils photo, la protection des données en ligne comme les cookies et les traqueurs, et les données sensibles comme les données de santé.

La APD néerlandaise semble se concentrer sur trois domaines au cours de la période 2020-2023 :

le commerce de données comme la surveillance de la revente, l'Internet des objets, le profilage et la publicité comportementale,
le gouvernement numérique, y compris la sécurité des données, les villes intelligentes, les partenariats, les élections et le microciblage
l'intelligence artificielle et les algorithmes

La APD française se concentrera en 2020 :

la sécurité des données de santé,
les services de mobilité et les nouvelles applications des données de localisation, et
les cookies et autres traqueurs.

La APD britannique et la DSK allemande ne mentionnent aucun secteur ou thème prioritaire spécifique, mais la APD britannique indique qu'il se concentre sur les objectifs suivants :

diriger la mise en œuvre et le suivi du RGPD,
explorer des moyens innovants et technologiquement souples de protéger la vie privée,
renforcer la transparence et la responsabilité et promouvoir une bonne gestion de l'information, et
protéger les citoyens dans un monde numérique.

3. Avertissements et amendes dans l'UE

3.1. La période de transition est terminée

L'année dernière, nous avons écrit que la plupart des autorités de contrôle avaient été relativement indulgentes en 2018 et que certaines autorités de contrôle, dont la APD belge, avaient indiqué qu'elles seraient plus strictes en 2019. En effet, le président de la APD belge a annoncé qu'il intensifierait ses efforts en 2019 pour assurer la conformité avec le RGPD. Cette annonce semble avoir été concrétisée par les trois amendes de 50 000 euros infligées par la APD belge en avril et mai 2020.

Le président de la APD néerlandaise a également annoncé dans le passé qu'en 2018, la APD néerlandaise se concentrerait principalement sur la fin des violations. À cette fin, elle a organisé des enquêtes exploratoires sur le registre des activités de traitement, les accords de traitement et les registres de fuites de données. L’APD néerlandaise a également insisté pour que l'organisation elle-même prenne des mesures correctives. Toutefois, le président de la APD néerlandaise a également déclaré que les plaintes conduiraient à davantage d'enquêtes et à d'éventuelles sanctions en 2019. Cette annonce semble également avoir été concrétisée par deux lourdes amendes de 525.000 et 725.000 euros. Cette dernière amende montre également que les organisations ne doivent pas toujours s'attendre à une mise en demeure de l'autorité de contrôle avant qu'une amende ne soit imposée. Dans cette affaire, l'APD néerlandaise a jugé que l'infraction était si grave que l'imposition immédiate d'une amende était justifiée.

La APD irlandaise a également récemment imposé la première amende RGPD. Une amende de 75.000 euros a été infligée à l'agence publique irlandaise Tusla (Child and Family Agency) pour trois cas de partage illégal de données à caractère personnel concernant des enfants. Dans un cas, les coordonnées d'une mère et de son enfant ont été révélées à un agresseur présumé. Dans deux autres cas, des données relatives à des enfants placés dans des familles d'accueil ont été divulguées à tort à des parents biologiques, y compris dans un cas à un père détenu.

3.2. Y a-t-il une tendance dans les secteurs ou les infractions ?

Bien que les autorités de surveillance puissent toujours émettre un avertissement préalable, on constate une augmentation non seulement du nombre d'amendes imposées, mais aussi du niveau de ces amendes. Toutefois, à l'heure actuelle, les autorités de contrôle ne semblent pas agir plus fréquemment contre certains secteurs ou entreprises, ni contre certains types d'infractions.

Des amendes sont ainsi imposées dans divers secteurs et entreprises, notamment :

les organismes de soins de santé,
organisations actives dans le secteur financier et les assurances,
organisations actives dans les médias (sociaux),
les entreprises de télécommunications,
les sociétés immobilières,
entreprises actives dans le domaine du transport et de la mobilité,
entreprises actives dans le domaine du divertissement et des loisirs,
organisations à but non lucratif,
les agences gouvernementales,
etc.

Des amendes sont également infligées pour différents types d'infractions, notamment :

non-respect des principes de base du traitement des données,
un manque de transparence envers les personnes concernées,
l'utilisation d'une base juridique erronée,
absence de mesures de sécurité techniques et organisationnelles appropriées,
l'absence de réponse, ou la réponse tardive, aux demandes des personnes concernées,
le fait de ne pas signaler une fuite de données ou de ne pas la signaler à temps,
etc.

Consultez le bas de ce blog pour avoir un aperçu des amendes infligées !

4. la jurisprudence pertinente (en Belgique) ?

4.1. L'amende belge est contestée avec succès devant la Cour des Marchés

Les amendes imposées par la APD peuvent être contestées en Belgique devant la Cour des Marchés. L'amende susmentionnée de 10.000 euros imposée à un commerce de boissons belge a été contestée avec succès devant la Cour des Marchés. La motivation principale était le manque de justification par la APD.

Après tout, contrairement aux APDs néerlandaise et allemandes, la APD belge n'a pas de politique de sanctions. C'est pourquoi, selon la Cour des Marchés, il faut au moins expliquer pourquoi une sanction moins lourde que l'imposition d'une amende de 10 000 euros ne mettrait pas fin aux infractions. En outre, les sanctions ont été imposées sur la base d'une législation qui n'était pas applicable au moment de l'infraction commise par le commerce des boissons.

4.2. L'affaire FAcebook : questions préjudicielles

Le RGPD prévoit un nouveau mécanisme de coopération entre les autorités européennes de surveillance, à savoir un mécanisme de guichet unique. En Belgique, l'affaire Facebook a donc soulevé la question de savoir si ce mécanisme de guichet unique affecte également la possibilité d'engager une procédure devant les tribunaux. De plus, le mécanisme du guichet unique n'a pas été appliqué par la APD française lorsqu'elle a imposé une amende de plusieurs millions à Google.

L'affaire Facebook a été initiée en 2015 par l'ancienne Commission de la protection de la vie privée et reprise par l'actuelle Autorité belge de protection des données. La Commission de la protection de la vie privée a fait valoir que les tribunaux belges sont compétents et a exigé que Facebook se conforme aux règles belges et européennes en matière de protection de la vie privée.

En première instance, la Commission de la protection de la vie privée de l'époque avait raison, mais Facebook a fait appel. Le 8 mai 2019, la Cour d'Appel de Bruxelles a décidé de poser un certain nombre de questions préjudicielles à la Cour de justice de l'Union européenne avant de statuer sur le fond. Les questions préliminaires sont disponibles ici.

5. Que nous réserve l'avenir ?

5.1. Peut-être plus d'amendes (et plus élevées)

Par rapport à 2018 et au premier semestre de 2019, des amendes plus nombreuses et plus élevées ont été infligées au second semestre de 2019 et au premier semestre de 2020. Il y a actuellement peu d'éléments qui pourraient indiquer que cette tendance ne pourrait pas se poursuivre en 2020 et dans les années à venir.

Il est probable que les amendes futures seront conformes aux objectifs stratégiques des autorités de contrôle. Comme les cookies et les traqueurs en ligne font partie des priorités de plusieurs autorités de contrôle, nous nous attendons certainement à ce que les amendes pour cookies soient plus nombreuses en 2020 et dans les années à venir. Les autorités de contrôle belge, espagnole et turque ont déjà infligé de telles amendes.

Toutefois, une amende ne sera pas toujours imposée. Bien que le fait de signaler une violation de données puisse entraîner une amende (élevée), comme dans le cas de British Airways, ce n’est pas nécessairement le cas. C'est ce qui ressort d'une décision récente de la APD belge. La APD belge n'a pas imposé d'amende à un opérateur de télécommunications car les enquêtes ont montré que la fuite de données avait été correctement signalée et que l'entreprise avait pris les mesures organisationnelles et techniques appropriées.

5.2. Assurance des amendes

Comme les amendes sont de plus en plus nombreuses et de plus en plus élevées, la question de leur assurabilité devient également de plus en plus pressante. Une amende pour une infraction au RGPD imposée par une autorité de contrôle est une amende administrative et peut, en principe, être assurée (en Belgique), mais cela soulève deux questions, à savoir si les amendes administratives sont exclues par la police d'assurance, et si la couverture de la police d'assurance est suffisamment élevée.

Pour une discussion plus approfondie de ces questions, nous renvoyons à notre aperçu de l'année dernière.

5.3. Les plaignants ont-ils droit à une indemnisation ?

Il arrive que les plaignants demandent également à la APD belge de leur accorder des dommages et intérêts, mais la APD n'a pas le pouvoir de le faire. Si la APD peut constater une infraction et imposer une amende administrative, l'octroi de dommages et intérêts est réservé aux tribunaux compétents. En outre, la APD ne peut pas non plus accorder de dommages et intérêts, car il s'agit d'une procédure administrative.

Aux Pays-Bas, la division de la juridiction administrative du Conseil d'État a décidé que le RGPD ne détermine pas la manière dont le dommage immatériel doit être déterminé. Le dommage doit donc être déterminé sur la base du droit national. En ce qui concerne la notion de dommage, le considérant 146 du RGPD indique ce qui suit : "La notion de dommage doit être interprétée de manière large à la lumière de la jurisprudence de la Cour de justice, de manière à refléter pleinement les objectifs du présent règlement. Ceci est sans préjudice de toute demande de dommages-intérêts pour violation d'autres règles du droit de l'Union ou du droit national". Bien que toute violation du RGPD ne donne pas lieu à des dommages-intérêts, le Conseil d'État a accordé un montant de 500 euros à une personne concernée dont les données médicales ont été incluses par le directeur du Centre Pieter Baan en défense dans le cadre d'une procédure disciplinaire. Cette compensation a été estimée sur une base équitable.

5.4. Y aura-t-il des politiques de sanctions dans d'autres États membres ?

Afin de garantir que les autorités de surveillance n'imposent pas d'amendes arbitraires, il est utile d'élaborer des règles dites de politique d'amendes, comme aux Pays-Bas et en Allemagne. À cette fin, la APD néerlandaise s'est basée sur les lignes directrices publiées en 2017 et distingue quatre catégories d'infractions. Chaque catégorie a une amende de base qui peut être ajustée à la hausse ou à la baisse selon les circonstances.

5.5. Plus de directives en fonction des objectifs stratégiques

Outre le pouvoir de sanction, les autorités de contrôle ont également le pouvoir d'émettre des directives sur le traitement des données à caractère personnel. Ces directives se trouvent généralement sur le site web de l'autorité de contrôle locale. Pour la APD belge, les directives suivantes sont en place depuis l'application du RGPD :

Une note sur les concepts de contrôleur/processeur de traitement (lire également notre blog à ce sujet),
Une recommandation sur le marketing direct (lire également notre blog à ce sujet),
Une recommandation sur l'obligation de protocole (un protocole est obligatoire pour le partage des données personnelles entre certaines autorités),
Une page thématique sur les cookies.
Soutien pratique aux PME (projet BOOST en 2020).

Lors de l'émission de lignes directrices, il n'est pas exclu qu'il y ait des différences entre les lignes directrices des différentes autorités de contrôle. Par exemple, selon une recommandation de la APD néerlandaise, les intérêts purement commerciaux ne peuvent être qualifiés d'intérêts légitimes, alors que selon la APD belge, le marketing direct peut être possible sur la base d'un intérêt commercial légitime.

Inversement, les directives émises par une autorité de contrôle peuvent également être confirmées ou suivies par d'autres autorités de contrôle. Par exemple, presque toutes les autorités de contrôle ont entre-temps déclaré qu'un mur de cookies était illégal. Cela signifie qu'un site web ne peut être utilisé que si tous les cookies sont acceptés par le visiteur, y compris les cookies de marketing par exemple.

5.6. Évaluation du RGPD et du nouveau règlement sur la vie privée en ligne

Sur la base de l'article 97 du RGPD, la Commission européenne devait soumettre un rapport au Parlement européen et au Conseil sur l'évaluation et la révision du RGPD avant le 25 mai 2020 et tous les quatre ans par la suite. Ce rapport est disponible ici.

Toutefois, le 18 février 2020, le CEPD a publié un document d'évaluation indiquant qu'il est actuellement trop tôt pour réviser le RGPD. En même temps, le CEPD appelle à des avancées sur le nouveau règlement relatif à la vie privée en ligne, qui n'existe pas encore aujourd'hui. Nous avons déjà écrit à ce sujet sur notre blog.

5.7. Mise à jour des standard contractual clauses

Les versions actuelles des Clauses Contractuelles Types (standard contractual clauses (CC)) ont été rédigées avant l'entrée en vigueur du RGPD. Timelex a conseillé la Commission européenne sur une adaptation des standard contractual clauses au RGPD. Si vous souhaitez rester informé, vous pouvez nous suivre sur LinkedIn.

5.8. Plus de certification en 2020 et dans les années à venir

La certification RGPD est un moyen pour une organisation de démontrer sa conformité avec la RGPD. Dans le cas de la certification, un organisme de certification accrédité peut évaluer, approuver et délivrer un certificat à une organisation. EuroPrivacy est un exemple de système de certification RGPD. Timelex aide les organisations à obtenir un certificat RGPD.

6. Le coronavirus affectera-t-il l'application de la loi ?

Plusieurs autorités de contrôle sont actuellement occupées par des demandes de corona et l'application semble également être affectée par les circonstances exceptionnelles actuelles. Par exemple, la APD britannique (l’ICO) preuve de compréhension envers les organisations qui ont actuellement d'autres priorités : "Nous comprenons que les ressources, qu'elles soient financières ou humaines, puissent être détournées des travaux habituels de mise en conformité ou de gouvernance de l'information. Nous ne pénaliserons pas les organisations dont nous savons qu'elles doivent donner la priorité à d'autres domaines ou adapter leur approche habituelle pendant cette période extraordinaire.

Bien que l’ICO ne prolonge pas les délais, la CNIL le fait. Dans certains cas, la mise en demeure de la CNIL sera prolongée jusqu'au 24 juin 2020. En outre, la CNIL déclare qu'elle continuera à prendre des mesures contre les violations graves des lois sur la protection des données, même dans ces circonstances exceptionnelles.

7. Un aperçu des amendes infligées

L'aperçu ci-dessous est classé par ordre croissant en fonction du montant de l'amende et fournit une anthologie des amendes imposées à ce jour (principalement) dans les États membres de l'UE.

Veuillez noter que cet aperçu n'est pas exhaustif. Notre ambition est d'inclure les amendes les plus remarquables, mais si vous cherchez plus d'informations sur l'application de la législation dans un État membre ou un secteur particulier, n'hésitez pas à nous contacter.

Autorité	Amende	A qui ?	Pourquoi ?
Belge	€ 2.000	Un maire	Pour avoir violé le principe de limitation des finalités. Le maire a répondu à un e-mail qui lui avait été envoyé pour fixer un rendez-vous avec la propagande électorale.
Chypriote	€ 3.000	Un éditeur local	Pour la publication du nom et de la photo des agents de police lorsque cela n'était pas proportionné dans ces circonstances.
Chypriote	€ 5.000	Un hôpital local	Pour avoir perdu le dossier d'un patient.
Autrichienne	€ 5.280	Un pub autrichien pour les paris sportifs	Pour les infractions relatives aux caméras de sécurité. Ces caméras seraient dirigées vers le domaine public, comme la rue et le parking, et les images seraient conservées trop longtemps (plus de 72 heures sans justification). Il s'agit d'une violation du principe de restriction de stockage.
Belge (nouveau)	€ 10.000	Un commerce de boissons belge	Pour avoir violé le principe du traitement minimal des données et l'absence de consentement valable. La création d'une carte de fidélité n'était possible qu'avec la lecture de la carte d'identité électronique. Il n'y avait pas non plus d'alternative, ce qui signifie qu'il n'y avait pas de libre consentement. En outre, le traitement du numéro du registre national, du sexe et de la date de naissance pour la création d'une carte de fidélité a été jugé excessif. En outre, il y a eu un manque d'informations claires, notamment en ce qui concerne la base juridique et la période de conservation. Toutefois, cette amende a été contestée avec succès devant la Cour des Marchés.
Belge (nouveau)	€ 15.000	Un site d'information juridique (jubel.be)	Pour avoir enfreint la législation sur les cookies et le RGPD. Les cookies ne pouvaient pas être refusés, la politique de confidentialité était affichée dans la mauvaise langue et l'administrateur s'appuyait sur un intérêt légitime comme base juridique pour placer des cookies statistiques non essentiels au lieu de donner son consentement. Vous pouvez lire une analyse plus détaillée de cette affaire sur notre blog.
Allemande (LfDI)	€ 20.000	Un réseau social allemand (knuddels.de)	Pour défaut de prise de mesures techniques et organisationnelles appropriées. Dans ce cas, les mots de passe avaient été conservés en texte intégral (il est apparu récemment que Facebook l'a également fait, ce qui fait actuellement l'objet d'une enquête par les autorités irlandaises).
Belge (nouveau)	€ 50.000	Un fournisseur de télécommunications belge (Proximus)	Pour un conflit d'intérêt du DPD qui, en plus d’être DPD, était également à la tête du département de la conformité, des risques et de l'audit.
Belge (nouveau)	€ 50.000	Un réseau de médias sociaux (inconnu)	Pour un système non conforme au RGPD "inviter un ami" ou "dire à un ami" basé sur une permission non valable. Un utilisateur du réseau social pourrait inviter des non-utilisateurs via leur adresse électronique. Le système était basé sur le consentement de l'utilisateur qui a envoyé l'invitation, mais la LPD stipule que seule la personne concernée (la personne invitée) peut valablement donner ce consentement. La APD belge a également noté que le consentement pour les e-mails de marketing ne peut être obtenu au moyen d'un e-mail informatif. Bien que cela ait été autorisé auparavant par le Service public fédéral pour les affaires économiques, cette pratique a déjà été rejetée par d'autres autorités de contrôle.
Belge (nouveau)	€ 50.000	Une assurance maladie privée (DKV)	Fournir des informations peu claires aux personnes concernées. La politique de confidentialité de l'assureur ne contenait pas de lien clair entre la base juridique et les objectifs du traitement des données à caractère personnel.
Lituanienne	€ 61.500	Un prestataire de services d'initiation de paiement	Pour avoir recueilli plus de données que nécessaire et les avoir conservées plus longtemps que nécessaire (216 jours au lieu de 10 minutes) et pour ne pas avoir signalé une violation de données. En outre, ces services d'initiation de paiement sont nouveaux depuis la directive sur les services de paiement (UE) 2015/2366 (DSP2).
Irlandaise (nouveau)	€ 75.000	Une agence d'État irlandaise (Tusla)	Pour partage illégal de données à caractère personnel concernant des enfants dans trois cas. Dans un cas, les coordonnées d'une mère et de son enfant ont été révélées à un agresseur présumé. Dans deux autres cas, des détails concernant des enfants placés dans des familles d'accueil ont été divulgués à tort à des parents biologiques, y compris dans un cas à un père détenu. Il s'agit de la première amende de RGPD en Irlande et Tusla a déjà indiqué qu'elle ne ferait pas appel.
Danoise	160.000 € (convertis)	Une compagnie de taxi danoise (Taxa 4x35)	Pour avoir conservé des données personnelles plus longtemps que nécessaire, notamment parce que le numéro de téléphone était un élément essentiel du système de la compagnie de taxi.
Turque	160.000 € (convertis)	Amazon	Pour l'envoi de messages électroniques commerciaux aux utilisateurs sans leur consentement, le regroupement de l'inscription aux services comme condition pour donner son consentement, le transfert de données personnelles sans le consentement exprès des utilisateurs et pour ne pas fournir d'informations conformément à la loi et en ce qui concerne le traitement des données avec des cookies.
Norvégienne (nouveau)	170.000 € (converti)	Une municipalité norvégienne (Bergen)	La sécurité insuffisante des noms d'utilisateur et des mots de passe dans le système informatique de la municipalité a fait que les données personnelles de plus de 35.000 personnes (élèves, principalement des enfants, et employés des écoles primaires municipales) ont été librement accessibles. La municipalité avait déjà été avertie à plusieurs reprises du manque de sécurité.
Danoise (nouveau)	200.000 € (convertis)	Un fabricant de meubles danois (IDDesign)	Pour défaut de documentation des périodes de conservation, non-respect des périodes de conservation prédéterminées et conservation des données personnelles plus longtemps que nécessaire.
Polonaise	220.000 € (convertis)	Une société internationale d'analyse de données (Bisnode)	Pour une violation du devoir d'information. La société en question devait informer 6 millions de personnes dans un délai de trois mois.
Espagnole	€ 250.000	Une compétition de football espagnol (La Liga Santander)	Pour n'avoir pas fourni suffisamment d'informations sur l'activation du micro et de la géolocalisation via l'application La Liga afin de localiser les diffusions illégales de matches de football.
Portugaise	€ 400.000	Un hôpital local (Centro Hospitalar Barreiro Montijo)	Pour défaut de prise de mesures techniques et organisationnelles appropriées. L'hôpital aurait donné à neuf travailleurs sociaux l'accès à certaines données médicales, et les droits d'accès à ces données ont également été accordés de manière négligente. Alors que 296 médecins travaillaient à l'hôpital, quatre fois plus d'employés avaient les mêmes droits d'accès qu'eux.
Grecque (nouveau)	€ 400.000	Un fournisseur de télécommunications (OTE)	Pour diverses violations du RGPD, y compris le principe de "privacy by design". L'autorité de contrôle grecque a imposé l'amende à la suite de plaintes d'utilisateurs concernant des conversations de marketing avec des tiers, malgré l'opt-out du marketing de tiers. Les enquêtes ont montré que les systèmes de l'entreprise ont supprimé par erreur un certain nombre de demandes de non-participation des utilisateurs à la suite d'erreurs organisationnelles.
Néerlandaise (nouveau)	€ 460.000	Un hôpital local (HagaZiekenhuis)	Pour défaut de prise de mesures techniques et organisationnelles appropriées. L'enquête est intervenue après que des dizaines d'employés aient consulté le dossier médical d'un Néerlandais bien connu. L'hôpital doit vérifier régulièrement qui consulte quel dossier et doit introduire une authentification à deux facteurs. L'hôpital a fait appel du montant de l'amende.
Britannique (nouveau)	575 000 € (convertis)	Une entreprise de production de plomb (CRDNN)	Pour avoir passé plus de 193 millions d'appels téléphoniques automatisés non sollicités. L'enquête a révélé qu'entre le 1er juin et le 1er octobre 2018, CRDNN Limited a passé près de 1,6 million d'appels par jour sur divers sujets, dont la gestion de la dette.
Néerlandaise (nouveau)	€ 525.000	Un club de tennis néerlandais (KNLTB)	Pour la vente des données personnelles de ses membres. En 2018, le KNLTB a illégalement fourni les données personnelles de plusieurs milliers de ses membres à deux sponsors.
Néerlandaise	€ 600.000	Une application de mobilité américaine (Uber)	Pour ne pas avoir signalé une fuite de données dans les 72 heures. Bien que la fuite ait eu lieu en 2016, l'autorité de surveillance néerlandaise a basé cette amende sur la législation nationale et le RGPD.
Néerlandaise (nouveau)	€ 725.000	Inconnu	Pour obliger les employés à scanner leurs empreintes digitales pour l'enregistrement des heures et des présences.
Néerlandaise	Paiement d'une pénalité (max. 900 000 €)	Un portail néerlandais sur les congés de maladie pour les employeurs	Prendre davantage de mesures pour sécuriser l'accès au portail des congés de maladie pour les employeurs, au moins en appliquant une authentification à plusieurs facteurs.
Italienne (nouveau)	11,5 millions d'euros	Un fournisseur d'énergie (Eni Gas e Luce - Egl)	L'autorité de contrôle italienne a imposé deux amendes à Eni Gas e Luce (Egl), d'un montant total de 11,5 millions d'euros, concernant respectivement le traitement illégal de données à caractère personnel dans le cadre d'activités promotionnelles et l'activation de contrats non sollicités. Les amendes ont été imposées en raison de la grande diversité des parties concernées, de l'omniprésence du comportement, de la durée de l'infraction et de la situation économique d'Egl.
Allemande (nouveau)	14,5 millions d'euros Blog de Timelex	Une société immobilière allemande	Pour le stockage de toutes les données personnelles des locataires dans un système d'archivage pour une période indéterminée.
Italienne (nouveau)	27,8 millions d'euros	Un fournisseur de télécommunications (TIM)	Pour plusieurs violations du RGPD, en mettant l'accent sur le traitement illégal des données, la stratégie de marketing agressive non conforme, la collecte non valable de consentements et les périodes de conservation des données trop longues.
Française	50 millions d'euros Blog de Timelex	Google	Pour plusieurs infractions relatives à la nullité du consentement et au manque de transparence.
Suédois (nouveau)	69 millions d'euros (convertis)	Google	Pour non-respect du droit de disposition.
Britannique (nouveau)	115 millions d'euros proposés (convertis - 99 millions de GBP)	Une chaîne d'hôtels (Marriott International)	Pour n'avoir pas fait preuve de la diligence requise lors d'une acquisition d'entreprise et pour n'avoir pas mis en œuvre les mesures de responsabilité appropriées pour évaluer non seulement les données à caractère personnel obtenues, mais aussi la manière dont elles sont sécurisées. La vulnérabilité a commencé lorsque les systèmes du groupe hôtelier Starwood ont été compromis en 2014 et que Marriott a ensuite acquis Starwood en 2016, mais la fuite des données des clients n'a été découverte qu'en 2018.
Britannique (nouveau)	243,47 millions d'euros	Une compagnie aérienne britannique (British Airways)	Absence de mesures appropriées, car l'entreprise a été victime d'une cyber-attaque au cours de laquelle les données de 500.000 personnes impliquées ont été volées.