Amendes RGPD aux Pays-Bas : les leçons des chiffres
Depuis 2018, l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, AP) publie chaque amende qu'elle inflige, avec pour chaque affaire l'infraction et le montant. C'est une mine d'informations, car cela montre où les choses tournent mal dans la pratique. La presse fait ses gros titres sur les amendes records de plusieurs dizaines de millions. Or celles-ci sont rares et concernent presque toujours de grands flux de données numériques. Pour une organisation ordinaire, un autre schéma est bien plus instructif. Un groupe récurrent d'amendes porte en effet sur trois obligations que touche directement une bonne hygiène des données. Cet article lit les chiffres et les traduit en actions concrètes pour vous.
Les amendes records font la une, mais restent exceptionnelles
Commençons avec honnêteté. Les plus grosses amendes RGPD aux Pays-Bas ne concernent pas un dossier papier égaré. En 2024, Uber a écopé d'une amende de 290 millions d'euros pour une protection insuffisante des données lors de leur transfert vers les États-Unis. Clearview a reçu 30,5 millions d'euros pour une base de données de reconnaissance faciale. L'administration fiscale néerlandaise a reçu en 2022 une amende de 3,7 millions d'euros pour un traitement illicite dans le scandale des allocations. Ce sont là des affaires portant sur des flux de données internationaux, une technologie interdite et une politique structurellement illicite.
Pour la plupart des organisations, ces montants ne sont ni réalistes ni instructifs. Vous ne déplacez pas des millions de profils vers un autre continent. La strate située en dessous est plus intéressante. Les amendes de quelques centaines de milliers d'euros, infligées à des hôpitaux, des communes, une école supérieure, une organisation de voyages. C'est là que se trouve le schéma qui ressemble à votre situation.
Les amendes qui, pour vous, comptent vraiment
Qui parcourt les amendes publiées voit trois infractions revenir sans cesse. Une sécurité insuffisante des données personnelles, une fuite de données notifiée trop tard ou pas du tout, et des données conservées bien trop longtemps. Voici une sélection d'amendes issues de ces catégories, toutes dans une fourchette susceptible de toucher une organisation ordinaire.
Source. Décisions de sanction de l'Autoriteit Persoonsgegevens, publiées sur autoriteitpersoonsgegevens.nl. Une sélection d'amendes pour sécurité (article 32), fuites de données notifiées trop tard (article 33) et conservation trop longue (article 5). Montants arrondis.
Il est frappant de voir à quelle fréquence la santé apparaît dans cette liste. Le HagaZiekenhuis et, d'autres années, l'OLVG ont été sanctionnés parce que des collaborateurs pouvaient consulter sans nécessité des dossiers de patients. Cela rejoint ce que nous avons vu précédemment. Dans notre analyse par secteur, la santé était depuis des années la tête de peloton des fuites de données. Beaucoup de données sensibles signifient forcément beaucoup de risques.
Trois obligations que touche l'hygiène des données
Les amendes se répartissent donc grosso modo en trois catégories. Il vaut la peine d'examiner catégorie par catégorie ce que vous pouvez y faire vous-même, et où se situe la limite de ce que le rangement et la destruction peuvent résoudre.
Sécurité des données personnelles (article 32)
C'est le plus grand groupe. Pensez à des accès trop larges, à une journalisation absente, à des mots de passe faibles. Une partie de cela est purement numérique et n'a rien à voir avec le papier. Mais une partie oui. Une armoire d'archives ouverte, des cartons de dossiers dans un couloir, du vieux papier accessible à quiconque passe. C'est aussi une lacune de la sécurité. Pour la partie papier vaut une règle simple. Ce dont vous n'avez plus besoin n'a plus besoin d'être gardé. Faites-le détruire de façon confidentielle et il ne présente plus de risque.
Fuites de données notifiées trop tard ou pas du tout (article 33)
Plusieurs amendes ne portaient pas sur la fuite elle-même, mais sur son traitement. Uber, Booking.com et l'UWV ont été sanctionnés parce qu'une fuite de données avait été notifiée trop tard. La règle est claire. Une fuite de données se notifie dans les 72 heures à l'Autoriteit Persoonsgegevens. Assurez-vous de savoir comment le faire avant que les choses ne tournent mal. L'ensemble du processus figure dans le plan pour notifier une fuite de données dans les 72 heures.
Conservation trop longue des données (article 5)
Le RGPD demande la minimisation des données. Vous ne conservez pas les données personnelles plus longtemps que nécessaire. La commune d'Enschede et la commune de Voorschoten ont reçu une amende liée à cette obligation. C'est la catégorie où la destruction aide le plus directement. Dès qu'un délai de conservation est dépassé, conserver n'est plus une précaution mais un risque. Savoir quel délai s'applique et où est la première étape. Pour cela, il y a l'aide-mémoire des délais de conservation RGPD.
Ce qui rend une amende élevée ou faible
Le montant d'une amende n'est pas fixe. L'Autoriteit Persoonsgegevens examine la nature, la gravité et la durée de l'infraction, le nombre de personnes concernées et le préjudice qu'elles ont subi. Compte aussi la manière dont une organisation réagit. Dans l'affaire de la Hogeschool van Arnhem en Nijmegen, sanctionnée pour une sécurité insuffisante après une fuite de données, l'amende a été ramenée, notamment grâce aux mesures correctives prises, de l'amende de base à 175 000 euros.
La leçon à en tirer est sobre. Agir de façon démontrablement soignée paie, même si quelque chose tourne quand même mal. Pouvoir montrer que vous sécurisez proprement les données, que vous rangez à temps et que vous gérez correctement une fuite fait la différence entre une amende faible et une amende élevée. C'est précisément pour cela que la preuve est si importante. Un certificat de destruction montre que le papier a été détruit au bon niveau et au bon moment.
Ce que vous pouvez faire concrètement
Les amendes se traduisent en une brève liste de contrôle. Pas de technologie coûteuse, mais de l'ordre.
- Rangez ce qui a dépassé le délai. Conserver au-delà du délai de conservation n'est pas une précaution, mais un risque.
- Sécurisez aussi le papier. Une armoire d'archives et un carton dans un couloir relèvent tout autant de l'article 32 qu'un serveur.
- Consignez les délais de conservation. Savoir ce qui peut partir et quand évite de détruire aussi bien trop tôt que trop tard.
- Organisez votre processus en cas de fuite. Assurez-vous de pouvoir faire une notification dans les 72 heures.
- Conservez la preuve. Les certificats et un registre des traitements démontrent que vous agissez avec soin.
Si vous voulez d'abord savoir où se trouvent les points faibles de vos archives, passez en revue 6 signes que vos archives présentent un risque RGPD. Et comme la plupart des fuites de données ne naissent pas de pirates mais d'erreurs quotidiennes avec le papier, il est bon de savoir que le papier est la principale cause de fuites de données.
Ce que coûte l'enlèvement de cette pile
Ranger du papier qui a dépassé le délai de conservation n'est pas un gros investissement. Vous payez un prix fixe par carton ou conteneur roulant, à partir d'environ 30 euros pour le premier carton, certificat compris. Dans un rayon de 20 km autour d'Amsterdam, nous ne facturons pas de frais de déplacement. Grâce aux tournées groupées, un prix fixe est aussi possible dans tout le pays. Rapporté à une amende de quelques centaines de milliers d'euros, et à l'atteinte à la réputation qui l'accompagne, c'est un petit prix pour éliminer un risque évitable.
Un exemple concret
Une organisation de taille moyenne passe en revue ses propres archives après avoir lu une décision de sanction. Dans une réserve se trouvent des cartons de dossiers de personnel et de clients dont le délai de conservation est largement dépassé. Exactement le type de données qui relève de la conservation trop longue, et qui devient aussitôt un problème en cas d'incident. Les cartons sont enlevés scellés et détruits au bon niveau, avec un certificat par enlèvement. Le registre des traitements indique désormais quand quels documents ont été détruits. Si l'Autoriteit Persoonsgegevens passait un jour, il suffirait de quelques minutes pour démontrer que le rangement a été fait avec soin. La manière de constituer cette preuve figure dans la destruction démontrable pour le RGPD.
Éliminer le risque évitable de vos archives ?
Indiquez combien de cartons ou de classeurs ont dépassé le délai de conservation et vous obtenez un prix fixe. Nous l'enlevons scellé, le détruisons au bon niveau DIN et vous recevez un certificat comme preuve pour votre dossier RGPD. Pas de frais de déplacement dans un rayon de 20 km autour d'Amsterdam.
Demander un devisQuestions fréquentes
Quelle est l'amende RGPD la plus élevée aux Pays-Bas ?
L'amende la plus élevée de l'Autoriteit Persoonsgegevens à ce jour est celle de 290 millions d'euros infligée à Uber en 2024, pour une protection insuffisante des données lors de leur transfert vers les États-Unis. De tels montants sont exceptionnels et concernent de grands flux de données internationaux, non la situation d'une organisation moyenne.
Suis-je automatiquement sanctionné après une fuite de données ?
Non. Une fuite de données n'entraîne pas d'office une amende. L'Autoriteit Persoonsgegevens examine si vous disposiez d'une sécurité appropriée, si vous avez notifié la fuite à temps et quelles mesures vous avez prises. Les amendes tombent le plus souvent en cas de négligence structurelle, non pour une erreur ponctuelle correctement gérée.
La destruction de documents peut-elle éviter une amende ?
Pas toutes les amendes. La destruction ne fait rien contre un mot de passe faible ou l'absence d'authentification à deux facteurs. Elle réduit en revanche deux catégories qui reviennent dans les amendes. La conservation trop longue de données et la sécurité insuffisante du papier contenant des données personnelles. Ce que vous ne détenez plus ne peut pas fuir.
Où puis-je consulter toutes les amendes RGPD ?
Sur le site de l'Autoriteit Persoonsgegevens. L'AP y publie toutes les amendes et sanctions imposées et publiées depuis 2018, avec pour chaque affaire l'infraction et le montant.
Qu'est-ce qui rend une amende plus élevée ou plus faible ?
L'Autoriteit Persoonsgegevens examine la nature, la gravité et la durée de l'infraction, le nombre de personnes concernées et le préjudice subi. Les mesures correctives comptent en votre faveur. Dans l'affaire de la HAN, l'amende a été de ce fait ramenée de l'amende de base à 175 000 euros.
Conclusion
Les amendes RGPD de l'Autoriteit Persoonsgegevens se lisent comme un mode d'emploi de ce qu'il vaut mieux ne pas faire. Les amendes de plusieurs millions sont spectaculaires, mais rares et éloignées de votre pratique. La vraie leçon se trouve dans la strate en dessous. Encore et toujours, il s'agit d'une sécurité insuffisante, d'une fuite de données notifiée trop tard et de données conservées trop longtemps. Deux de ces trois catégories, vous les maîtrisez entièrement. Rangez ce qui a dépassé le délai, sécurisez aussi votre papier et conservez la preuve que vous l'avez fait proprement. Cela ne corrige pas un mot de passe faible, mais cela élimine un risque évitable qui revient, dans les chiffres des amendes, encore et encore.
À lire aussi : cette analyse accompagne deux textes précédents. Le papier est la principale cause de fuites de données et les fuites de données par secteur, la santé en tête. Ensemble, ils montrent où se trouve le risque et ce qu'il peut coûter.
Éliminer un risque évitable de vos archives ? Demandez un devis via desnipperaar.nl ou lisez d'abord comment la destruction démontrable pour le RGPD constitue votre preuve. Nous enlevons le papier sensible scellé.