L'application du RGPD en Suède

Pierre angulaire de la protection des données personnelles, le Règlement général sur la protection des données (RGPD) vise à assurer la protection des données à caractère personnel des personnes. physiques au sein de l’Union européenne En Suède, l’application et le contrôle du RGPD sont confiés à l’autorité suédoise de protection des données, la Integritetsskyddsmyndigheten (IMY) (1).

Dans cet article, Lexing Suède (Eris Law) décrypte les missions de l’IMY et analyse les décisions de sanction et les lignes directrices que cette autorité a récemment adoptées en vue de garantir le respect du RGPD en Suède.

L’IMY, l’autorité suédoise de protection des données

L’IMY est une autorité publique indépendante chargée de surveiller et de faire respecter la conformité au RGPD ainsi qu’aux autres lois en matière de protection des données en Suède. Son mandat consiste à veiller à ce que les données à caractère personnel soient traitées correctement et en toute sécurité par les organisations opérant dans le pays. L’IMY est l’interlocuteur principal des personnes souhaitant déposer plainte en cas de traitement abusif de leurs données à caractère personnel. Elle fournit également des orientations aux organismes sur leurs obligations. Par ailleurs, l’IMY supervise l’application de la loi suédoises sur le recouvrement des créances et sur les informations en matière de crédit.

Sanctions récentes prononcées par l’IMY

L’IMY est très active dans l’application du RGPD, et plusieurs affaires notables témoignent de son engagement en faveur d’un haut niveau de protection des données.

Par exemple, en 2025, l’IMY a infligé des amendes administratives à deux pharmacies suédoises, Apoteket AB et Apohem AB, à hauteur respectivement de 37 millions SEK et 8 millions SEK (soit environ 3,3 millions d’euros et 700 000 euros), pour ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées lors de l’utilisation de l’outil d’analyse de Meta, entraînant le transfert non intentionnel de données personnelles sensibles (2).

Dans une autre affaire, le Médiateur pour la non-discrimination (DO) a été sanctionné d’une amende de 100 000 SEK (environ 9000 euros) pour défaut de mesures de sécurité suffisantes lors de la collecte de données à caractère personnel via un formulaire en ligne.

L’IMY a également reproché à la société H&M d’avoir rendu inutilement difficile la désinscription à des communications marketing, ce qui constituait une violation des droits des personnes concernées au titre du RGPD.

Ces actions illustrent le rôle de l’IMY dans la responsabilisation des organisations et dans la garantie d’un traitement responsable des données à caractère personnel.

Lignes directrices et autres ressources diffusées par l’IMY

Au-delà des mesures de contrôle, l’IMY diffuse une documentation abondante afin d’aider les professionnels et les particuliers à comprendre, et ainsi à respecter, le RGPD.

En février 2025, l’IMY a publié des lignes directrices sur les analyses d’impact relative à la protection des données (AIPD). Ce document détaille un processus en dix étapes qui permet d’identifier et d’atténuer les risques liés au traitement des données à caractère personnel, notamment pour les activités à haut risque (3).

L’IMY a également rappelé l’importance de documenter la décision de fonder un traitement de données sur l’intérêt légitime. Dans une décision récente, elle a conclu qu’une société avait enfreint l’article 6, paragraphe 1, point f, du RGPD en traitant des données à caractère personnel sans remplir les conditions nécessaires pour invoquer l’intérêt légitime, insistant ainsi sur la nécessité d’une évaluation structurée et documentée (4).

En avril 2025, l’IMY a adressé des avertissements formels à plusieurs entreprises pour l’utilisation, dans leurs bandeaux de consentement aux cookies, d’interfaces trompeuses (« dark patterns » ), résultant notamment par exemple dans la mise en avant de l’option « accepter » par rapport à « refuser », ou encore pour la fourniture d’informations insuffisantes sur les finalités du traitement (5).

Ces actions traduisent la volonté de l’IMY de garantir un consentement réel et une transparence dans la collecte des données.

Structure et activités de l’IMY

Basée à Stockholm, l’IMY est organisée en départements couvrant différents secteurs : administration publique, santé, éducation, entreprises et système judiciaire. L’autorité enquête régulièrement sur les violations de données et les cas de non-conformité. Le cas échéant, elle prend des décisions et prononce des amendes appropriées. Elle collabore également avec les autres autorités de protection des données de l’UE dans le cadre du Comité européen de la protection des données (CEPD), en participant à des actions conjointes et en partageant des informations afin d’assurer une application cohérente du droit à l’échelle européenne.

Traitement de données personnelles par l’IMY

Dans le cadre de ses missions, l’IMY est amenée à traiter des données à caractère personnel en qualité de responsable du traitement. Les personnes concernées peuvent contacter le délégué à la protection des données (DPO) de l’IMY pour exercer leurs droits prévus par le RGPD, notamment pour accéder à leurs données ou s’opposer à leur traitement.

Conclusion

L’application du RGPD en Suède se caractérise par le rôle actif de l’IMY qui remplit diverses missions de contrôle, de conseil et de sensibilisation. Par son le suivi régulier des évolutions législatives qu’elle assure, les décisions qu’elle prononce et les ressources qu’elle diffuse, l’IMY veille à l’application d’une gestion responsable des données à caractère personnel et à la protection effective des droits des personnes. De fait, son action conduit les organisations opérant en Suède à rester vigilantes et proactives dans leurs pratiques de conformité afin se conformer aux exigences du RGPD et ainsi d’éviter les sanctions.

(1) Site de l’Autorité suédoise de protection des données (IMY) : https://www.imy.se/en/

(2) Sanctions prononcées à l’encontre des pharmacies suédoises : https://www.imy.se/

(3) Guide IMY sur les AIPD : https://www.imy.se/publikationer/vagledning-vid-konsekvensbedomning/

(4) Décision IMY (DI-2019-11737) sanctionnant Bonnier News AB : https://gdprhub.eu/index.php?title=IMY_(Sweden)_-_DI-2019-11737

(5) « Dark patterns » dans les bandeaux cookies : https://cookieinformation.com/resources/blog/blog-swedish-dpa-imy-dark-patterns-april-2025/

(6) Data Protection & Privacy 2025 – Sweden, Chambers & Partners : https://practiceguides.chambers.com/

Notre conseil :

Pour en savoir plus sur Lexing Suède, regardez sa vidéo de présentation en cliquant ici !

Imprimer
Partager

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.