Sanctions : La CNIL n’a pas chômé cet été !

Comme chaque été, la CNIL n’était pas vacances et a poursuivi son action répressive notamment sur les différentes thématiques prioritaires de contrôle identifiées dans son programme de 2020, 2021 et 2022. Retour sur les dernières décisions de la CNIL…

Pour donner suite aux contrôles réalisés en 2021 sur vingt-et-un sites internet français appartenant à des organismes du secteur public et privé, la CNIL a clôturé six procédures et a décidé de mettre en demeure quinze organismes.

Ces mises en demeures portent sur le manquement à l’obligation générale d’assurer la sécurité des données personnelles traitées telle que définie à l’article 32 du RGPD. Les principaux manquements soulevés par la Commission sont entre autres le chiffrement insuffisant des données et l’absence de protection efficace des comptes utilisateurs – aucun dispositif de traçage permettant de détecter les connexions anormales et utilisation de mots de passes non robustes.

FACEBOOK IRELAND LIMITED avait été enjoint par la CNIL le 31 décembre 2021 dans un délai de trois mois de mettre en place la possibilité pour les utilisateurs du site « facebook.com » de refuser le dépôt de cookies.

La Commission a décidé de clôturer la procédure le 11 juillet 2022 après avoir constaté que la société avait satisfait à l’injonction en ajoutant un bouton de refus « Uniquement autoriser les cookies essentiels » au-dessus du bouton « Autoriser les cookies essentiels et optionnels ».

Cependant, cette décision ne porte aucunement sur la conformité à l’article 82 de la loi Informatique et Libertés des fenêtres de consentement aux cookies du site pour lesquelles la CNIL ne réserve la possibilité de réaliser un contrôle.

Le 7 juillet 2022, la CNIL a condamné la société de location de véhicules OBEEQO INTERNATIONAL à une amende de 175 0000 euros rendue publique pour atteinte à la vie privée de ses clients en raison de la non-conformité de son dispositif de géolocalisation au regard du RGPD.

Dans le cadre de la géolocalisation de ses véhicules de location, la société n’a pas respecté certaines obligations définies par le RGPD :

• La minimisation des données: les finalités ne justifiaient pas la collecte de données réalisée et celle-ci était d’autant plus intrusive dans la vie privée des clients (déplacements, lieux fréquentés, arrêts effectués…)
• La limitation de la conservation : les données étaient conservées pendant une durée excessive à savoir toute la durée de la relation commerciale puis durant trois ans
• L’information des personnes : les clients n’avaient pas accès aux informations pertinentes sur le traitement de leurs données

Après avoir été enjoint par le CEPD de réexaminer sa décision, la CNIL a décidé de prononcé une amende de 600 000 euros rendue publique à l’encontre de la société ACCOR pour non-respect des règles en matière de protection commerciale et de droits des personnes.

Les manquements sanctionnés portent sur les obligations suivantes :

• Le recueil du consentement des personnes : le consentement n’était pas requis pour réaliser de la prospection commerciale
• L’information des personnes : les informations nécessaires n’étaient pas accessibles lors de la création de compte ou de l’adhésion au programme fidélité
• Le respect des droits des personnes : les demandes de droit d’accès et d’opposition n’avaient pas été prises en compte et traitées
• La sécurité des données: les mots de passe utilisés n’étaient pas suffisamment robustes et certaines informations ont été demandées aux clients par courriel de manière non chiffrée

Ainsi, il est plutôt clair que la CNIL ne compte pas relâcher son attention, charge aux organismes de faire de même…  A titre informatif, vous trouverez une cartographie de l’ensemble des contrôles réalisés par la CNIL jusqu’à 2020 par secteur d’activité.