Sanctions CNIL : Fin d’année 2023 et début d’année 2024

Comme évoqué dans notre article précédent, la CNIL poursuit son action répressive pour sanctionner les organismes coupables de violation aux dispositions du RGPD et de la Loi Informatique et Libertés Retour sur les dernières sanctions prononcées entre fin d’année 2023 et début d’année 2024.

La CNIL a prononcé sur la fin d’année 2023 six nouvelles sanctions dans le cadre de sa procédure simplifié pour un montant de 44 000 euros.

Les manquements constatés portaient sur :

• Le non-respect du droit d’accès : un professionnel de santé n’avait pas répondu favorablement à la demande de communication de données de santé. Or, les professionnels de santé sont soumis à l’obligation de faire droit à ce type de demande en vertu en vertu de l’Article 64 de la loi Informatique et Libertés.
• Le non-respect du principe de collecte des données pour des finalités déterminées, explicites et légitimes: une société demandait à des candidats à un emploi des données personnelles ne présentant pas de lien direct et n’étant pas strictement nécessaire avec l’emploi proposé. Cette collecte ne respectant donc pas le principe de proportionnalité et de pertinence.
• Le non-respect du droit d’opposition: un candidat à des élections législatives n’a pas fait droit à la demande d’opposition reçue d’un tiers suite à la réception de courriers électroniques de prospection politique. Or, en matière de prospection, la personne concernée a le droit de s’opposer à tout moment à l’utilisation de ses données en vertu de l’Article 21.2 du RGPD.

• Le non-respect de l’obligation de sécurité: une commune n’assurait pas la sécurité des données personnelles de ses administrés notamment en ne respectant pas les précautions en matière de robustesse et de conservation des mots de passe. De plus, en raison de sa qualité d’autorité publique, la CNIL a considéré que la commune devait être un exemple concernant le niveau de sécurité des données

La CNIL a également prononcé en ce début d’année une sanction importante à l’encontre de la société NS CARD France d’un montant de 105 000 euros. Les manquements soulevés par la CNIL sont les suivants :

• Le non-respect du principe de conservation limitée des données : la société conservait les comptes de ses utilisateurs désactivés mais ne procédait pas à leur suppression. La CNIL a considéré que les données des comptes utilisateurs étaient donc conservées pour une durée indéterminée.

• Le non-respect de l’obligation d’information des personnes : la politique de confidentialité de la société était d’une part incomplète et d’autre part obsolète dans la mesure où celle-ci était rédigée en anglais alors que le public visé était francophone.

• Le non-respect de l’obligation de sécurité : la société ne respectait pas les mesures de sécurité à mettre en place en matière de mots de passe (mots de passe insuffisamment robustes, conservation en clair, fonction de hachage obsolète…) risquant ainsi la fuite des données ou encore d’être la cible de cyberattaques.

• Le non-respect des obligations en matière de cookies et traceurs: le site de la société ne recueillait pas le consentement des personnes quant au dépôt de Google Analytics et à l’utilisation du reCAPTCHA impliquant le traitement de leurs données sans leur accord.

La CNIL semble donc encore bien partie cette année pour user de son pouvoir de sanction et ne pas relâcher son attention, charge aux organismes d’assurer leur conformité aux dispositions RGPD et de la Loi Informatique et Libertés.

Source : Commission nationale de l’informatique et des libertés– CNIL