Les Dernières Sanctions de la CNIL – Juin 2023

Comme nous l’évoquions dans notre dernier article, la CNIL poursuit en 2023 son action répressive et continue de prononcer des sanctions contre les structures ne respectant pas les règles du RGPD ainsi que la Loi Informatique et Libertés. Elle a d’ailleurs prononcé plusieurs sanctions récemment :

Le 8 juin 2023 la société de voyance KG COM a été sanctionnée par la CNIL en formation restreinte à une amende de 150 000 euros pour différents manquements aux obligations du RGPD :

• Minimiser les données : la société n’informait pas les personnes de l’enregistrement des conservations téléphoniques et n’a donné aucune information quant à la conservation de ces enregistrements suite à l’arrêt de cette pratique
• Définir une base légale : le consentement n’a pas été défini comme base légale et n’a pas été recueilli auprès des personnes pour l’utilisation de leurs données bancaires pour faciliter leurs nouveaux achats
• Recueillir le consentement préalable : le consentement n’a pas été recueilli pour le traitement de données sensibles
• Assurer la sécurité des données : les mesures de sécurité mises en place sur le site internet de la société ne respectent pas les recommandations de la CNIL et de l’ANSSI
• Notifier les violations de données à la CNIL : la fuite de données survenue n’a pas été notifiée à la CNIL
• Respecter les obligations en matière d’utilisation des cookies : les cookies étaient déposés sans consentement et l’option de refus ne pouvait pas s’exercer aussi facilement que l’acceptation

Le 3 avril 2023 le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique a été mis en demeure de se mettre en conformité dans un délai de 6 mois par la CNIL en raison de l’illicéité du fichier SIRENE pour différents manquements au RGPD et à la LIL :

• Traitement de données illicite : le fichier a été créé et utilisé en l’absence de texte législatif ou règlement et la CNIL n’a aucunement été consultée lors de sa mise en place en raison des enjeux en matière de protection des données
• Absence de réalisation d’une analyse d’impact : le fichier impliquait un traitement de données de localisation à grande échelle pour lequel la réalisation d’une analyse d’impact était obligatoire au regard du risques pour les droits et libertés des personnes
• Absence de distinction entre les personnes : les données des personnes étaient renseignées sans qu’il soit possible de distinguer les catégories de personnes
• Absence d’information des personnes : les personnes renseignées n’ont reçu aucune information et aucune information générale n’a été diffusée au public

L’injonction à l’encontre de MICROSOFT IRELAND OPERATIONS LIMITED a été clôturée le 11 mai 2023 par la CNIL. En effet, comme nous l’avions évoqué dans un précédent article, la société avait été sanctionnée lourdement par la CNIL en raison du non-respect des règles en matière de cookies.

La société a en effet enfin effectué les modifications demandées par la CNIL dans le délai imparti afin de permettre de respecter le consentement des personnes en matière de dépôt des cookies.

Il appartient alors à toutes les structures amenées à manipuler des données personnelles de veiller au respect strict des règles du RGPD – Règlement Général sur la Protection des Données et de la LIL – Loi Informatique et Libertés sans distinction de la taille de la structure ni du secteur d’activité sous peine de se voir sanctionné par la CNIL.