Les sanctions de la CNIL se multiplient en 2021, Optimex Data revient sur la politique répressive de la CNIL, et les sanctions et mises en demeure de cette fin d’année.
Sanctions CNIL 2021
Comme vous le savez maintenant, la CNIL a le pouvoir sanctionner tout responsable de traitement qui ne prendrait pas les mesures nécessaires au respect de la loi Informatique et Libertés et au Règlement Général sur la Protection des Données – RGPD.
La CNIL poursuit les sanctions et mises en demeure : les nouveautés
Dans une volonté d’appliquer une plus grande sévérité sur l’année 2021 et dans une volonté d’homogénéisation, la CNIL a récemment multiplié les sanctions à l’encontre d’entités diverses.
Rappel à l’ordre du Ministère de l’Intérieur
Dans le cadre de sa gestion du fichier automatisé des empreintes digitales – FAED, le Ministère s’est vu reproché 5 manquements au RGPD et notamment la conservation de données non prévues par les textes et pendant une durée excédant celle prévue par ces derniers, la conservation des données de personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite, l’absence d’information des personnes concernées ainsi que la sécurité insuffisante du fichier via un mot de passe peu robuste.
Mise en demeure de la société FRANCETEST
La CNIL a reçu un signalement anonyme l’informant d’une « violation de sécurité » sur le site internet de FRANCETEST. Une base de données concernant 386 970 personnes et contenant des données sensibles, telles que le résultat de leur test antigénique aurait été exposée. Malgré les mesures de sécurité prises par FRANCETEST pour remédier à la violation de données, la CNIL a relevé que les mesures de sécurité prises étaient insuffisantes au regard de la nature sensible des données – hébergement par un prestataire non agréé Hébergeur de données de santé, processus d’authentification pas assez robuste ou encore procédés utilisés pour crypter les données faibles.
Sanction de 3000 euros à l’encontre de la Société Nouvelle de l’Annuaire Français – SNAF :
La SNAF recense les entreprises françaises sur un site internet à partir de données publiques. Dans ce contexte, la CNIL a reçu plusieurs plaintes de personnes indiquant des difficultés dans l’exercice de leurs demandes de droits, notamment d’effacement et de rectification. Après une première mise en demeure de la CNIL restée sans résultat, la SNAF a été condamnée à une amende de 3000 euros pour manquement aux obligations de respecter les demandes de droits, manquement à l’obligation de tenir un registre des traitements et manque de coopération avec la CNIL.
De même, au sein de l’Union européenne, les autorités de contrôle semblent s’inscrire dans une politique similaire. A ce titre, la Commission Nationale pour la Protection des Données Espagnole a prononcé une amende de 3 millions d’euros à l’encontre de CAIXA BANQ pour base juridique insuffisante dans le cadre d’un traitement de données.
Si la CNIL poursuit sa politique répressive et d’accompagnement, afin d’assurer aux personnes concernées une protection appropriée de leurs données personnelles et de leur vie privée, il convient d’être particulièrement vigilants quant aux violations de données. En effet, les cyberattaques et expositions de données se multiplient. Elles peuvent avoir de lourdes conséquences réputationnelles ou financières, notamment en cas de contrôle de la CNIL, comme se fut le cas pour FRANCETEST.
N’hésitez pas à sensibiliser l’ensemble de votre personnel sur ce point, nous pouvons d’ailleurs vous y aider, sollicitez-nous !
