Manquements au RGPD : La CNIL ne relâche pas sa vigilance

Manquements au RGPD : La CNIL ne relâche pas sa vigilance

Manquements au RGPD : La CNIL ne relâche pas sa vigilance 960 639 OPTIMEX DATA - Conformité RGPD

Optimex Data revient sur les dernières sanctions de la CNIL suite à des manquements aux obligations du RGPD.

Manquements au RGPD, la CNIL ne relâche pas sa vigilance

La CNIL poursuit sa lancée et continue de faire usage de son pouvoir de sanction à l’encontre des structures ne respectant leurs obligations en matière de protection des données à caractère personnel. En effet, la CNIL a récemment lourdement sanctionné plusieurs entités en raison des manquements suivants aux obligations au RGPD suivantes

Traitement licite des données

L’une des obligations primordiales des structures est de respecter le principe de licéité du traitement de données réaliséArticle 6 du RGPD.

La société CLEARVIEW AI a notamment été sanctionnée le 17 octobre 2022 à hauteur de 20 millions d’euros en raison du traitement illicite qu’elle réalise dans le cadre de son logiciel de reconnaissance faciale CLEARVIEW AI. La CNIL a considéré que ce traitement était illicite en raison de l’absence de base légale pouvant justifier sa mise en œuvre. En effet, le consentement des personnes n’est pas recueilli et l’intérêt légitime ne permet pas de justifier le traitement notamment au regard du caractère intrusif du procédé et de la sensibilité des données.

Recueil du consentement préalable à la prospection commerciale

La CNIL maintient sa vigilance sur la prospection commerciale, thématique sur laquelle elle a été amenée à sanctionner à de nombreuses reprises.

Ainsi, EDF a été sanctionné d’une amende de 600 000 euros le 24 novembre 2022 pour différents manquements et notamment le non-respect des règles applicables en matière de consentement des personnes – Article L. 34-5 du CPCE et 7 du RGPD : l’absence de recueil de consentement valable avant tout envoi de sollicitation commerciale lors des campagnes 2020 et 2021, la non-tenue d’une liste de partenaires mise à disposition des personnes et l’absence de mise en place de mesures auprès des courtiers en données justifiant qu’un consentement valable avait été donné. 

Information des personnes et respect de l’exercice des droits

Dans le cadre de la sanction prononcée à l’encontre d’EDF d’autres manquements ont également été constatés par la CNIL. En effet, EDF ne respectait pas son obligation d’informationArticle 13 et 14 du RGPD, des personnes et avait publié sur son site une charte de protection des données personnelles incomplète au regard des exigences du RGPD.

Ce manquement a également été constaté pour la société DISCORD INC en raison du défaut d’information concernant les durées de conservation des données. La structure a été sanctionnée d’une amende de 800 000 euros pour différents manquements le 10 novembre 2022.

Respect de l’exercice des droits

La CNIL a également sanctionné EDF et CLEARVIEW AI pour non-respect du droit des personnes. Les manquements soulevés étaient divers notamment : l’absence de mettre à disposition des personnes des moyens simples d’exercer leurs droits et l’absence de réponse aux demandes de droits formuléesArticle 12 du RGPD, et le non-respect du droit d’accès (Article 15 du RGPD) et du droit d’oppositionArticle 21 du RGPD.

Durée de conservation

La société DISCORD INC a également été sanctionné par la CNIL en raison de son manquement à l’obligation de définir et d’appliquer une durée de conservation adaptée aux finalités du traitement – Article 5 du RGPD. En effet, la structure conservait un grand nombre de comptes utilisateurs inutilisés pendant des durées disproportionnées pouvant aller au-delà de 5 ans.

De même, INFOGREFE a également été sanctionné le 8 septembre 2022 car il prévoyait de conserver les données des membres et des abonnés 36 mois après la dernière prestation mais que cette durée n’était pas appliquée pour une partie des utilisateurs. L’amende s’est élevée au total à 250 000 euros en raison d’un autre manquement constaté.

Sécurité des données personnelles

La CNIL attache également une grande importance aux mesures mises en place afin de protéger les données. C’est pourquoi, EDF, INFOGREFFE et DISCORD ont également été sanctionnés pour non-respect de leur obligation d’assurer la sécurité des données – Article 32 du RGPD.

Les manquements soulevés sont divers : utilisation de mot de passe non robustes, transmission de mots de passe non temporaires en clair par courriel, conservation des mots de passe dans la base de données de manière non sécurisée

Protection des données par défaut

Le manquement à l’obligation de garantir la protection des données par défaut – Article 25.2 du RGPD, a également été soulevée par la CNIL à l’encontre de DISCORD. En effet, DISCORD n’informait pas les personnes que le fait de fermer l’application ne coupait pas la connexion au salon vocal et permettait à des tiers connectés d’entendre les paroles de celles-ci. La CNIL a considéré que les personnes devaient être spécifiquement informées.

Obligation de réaliser une analyse d’impact

Dans le cadre de la même sanction prononcée à l’encontre de DISCORD, la CNIL a également relevé un manquement à l’obligation de réaliser une analyse d’impact Article 35 du RGPD, au regard du volume de données traitées et de l’utilisation du service par des personnes mineures. C’est une première, la CNIL n’avait encore jamais sanctionné de structure pour ce manquement !

La coopération avec les services de la CNIL

Par ailleurs, les autorités de contrôle européennes ont récemment sanctionné la société META, société-mère de Facebook, Whatsapp et Instagram le 25 novembre 2022 d’une lourde amende de 265 millions d’euros.

Dans le cadre d’une enquête menée par le régulateur irlandais – DCP ou Data Protecton Commission, ouvert en avril 2021, celui-ci avait constaté le non-respect de son obligation de garantir la protection des données dès la conception et par défaut au regard de l’article 25 du RGPD.

Ainsi, les autres autorités de contrôle au sein de l’Union Européenne dans le cadre d’une coopération avec la DPC ont approuvé sa décision de sanction enregistrant des constatations de violation des articles 25-1 et 25-2 du RGPD.

Enfin, la CNIL a également rappelé dans sa sanction à l’encontre de CLEARVIEW AI que les structures devaient respecter leur obligation de coopérer avec les services de la CNIL. La structure mise en cause n’avait répondu que partiellement au questionnaire de contrôle de la CNIL et n’a pas répondu à la mise en demeure qui lui avait été adressée.

Il appartient alors aux organismes de ne pas relâcher leur attention et de poursuivre la veille de leur mise en conformité au RGPD.

S’inscrire à notre newsletter.

    Votre nom *

    Votre Email *

    Veuillez saisir le code ci-dessous :

    captcha

    Les informations recueillies par le biais de ce formulaire sont enregistrées et transmises aux services concernés d’OPTIMEX DATA et nous permettent de vous envoyer notre lettre d’information concernant les services que nous proposons. La base légale du traitement est le consentement. Les données collectées sont conservées jusqu’à votre désinscription (lien de désinscription intégré à la Newsletter) dans nos fichiers informatiques. Vous disposez d’un droit d’accès, de rectification, d’opposition, de limitation au traitement et d’effacement. Pour en savoir plus sur l’utilisation de vos données et sur vos droits issus de la Loi Informatique et Libertés modifiée ainsi que du RGPD, veuillez consulter notre politique de protection des données ou nous contacter à privacy@optimex-data.fr.

    logo optimex data

    @Optimex Data 2024 – Tous droits réservés

    OPTIMEX DATA, sécurité et conformité RGPD en toute sérénité !

    Call Now Button