Le mercredi 11 novembre 2020, le Tribunal régional de Bonn a confirmé la sanction prononcée en 2019 à l’encontre de l’opérateur 1&1 par le Commissariat allemand à la protection des données. L’opérateur avait reçu une amende de 9,55 millions d’euros pour une mauvaise protection des données personnelles de ses clients.
Pour rappel, le RGPD prévoit que les entreprises doivent mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données personnelles. Or, l’opérateur allemand avait failli à cette obligation, lorsqu’une de ses clientes avait obtenu le numéro de téléphone de son ex-conjoint en donnant simplement le nom et la date de naissance de celui-ci au centre d’appel. Cette sanction était alors l’une des premières sanctions prononcées pour violation du RGPD, ce qui explique l’ampleur du montant de l’amende. Le but était ainsi de montrer que les violations des dispositions du RGPD sont prises très au sérieux.
Le Tribunal régional de Bonn a considéré que l’amende était justifiée, mais que son montant était excessif. Il l’a donc ramenée à 900 000 euros, soit à peine 10% du montant initial. Cette décision était attendue de la part des acteurs de la protection des données en Allemagne, qui souhaitent connaître les approches des autorités de contrôle pour déterminer le montant des amendes. La question se pose en effet de savoir si le calcul du montant de l’amende sur la base du chiffre d’affaires mondial est approprié. On constate ainsi que les autorités de protection des données européennes prononcent des sanctions élevées, qui sont souvent revue à la baisse par la suite.