fbpx

sanction cnil

sanctions de la cnil rgpd

Sanctions CNIL et Violations de Données

Sanctions CNIL et Violations de Données 960 640 Optimex Data

Optimex Data vous présente les dernières sanctions de la CNIL RGPD

sanctions de la CNIL RGPD

Saviez-vous que le mois d’octobre est consacré à la cybersécurité ? La CNIL et l’ANSSI vous proposent des campagnes de sensibilisation pour une « culture de la sécurité numérique ». Notre objectif sera de porter à votre connaissance des faits récents démontrant l’intérêt qu’il faut porter à ce sujet.

Phishing de Doctolib : méfiez-vous !

Un faux mail de rendez-vous Doctolib circule en ce mois d’octobre 2020. Son objectif est que vous confirmiez un rendez-vous, dont la date et l’heure auraient été préalablement fixés. Faites attention, ne cliquez par sur le lien qui vous est proposé, il s’agit d’une arnaque mise en place afin de récolter certaines de vos données en vous renvoyant vers un site d’arnaque au support informatique.

Afin d’identifier ce type d’escroquerie, la CNIL vous énumère les bons gestes à avoir dans ce genre de situation.

Gare aux vidéosurveillances !

Nous vous avions prévenu… la CNIL est actuellement très à cheval sur les dispositifs de vidéosurveillance et sur leur conformité avec le RGPD. En ce sens, des mesures strictes sont assimilées à ces outils en fonction des différents secteurs d’activité.

En ce qui concerne les lieux de travail, ces outils ne peuvent aucunement conduire à placer les employés sous surveillance constante et permanente.  Sur ce sujet, la CNIL allemande a récemment sanctionné l’entreprise H&M d’une amende de 35 millions d’euros à la suite d’un contrôle qui a révélé que les salariés étaient régulièrement surveillés par des dispositifs de surveillance au sein de la société.

Nous vous recommandons d’être extrêmement vigilants quant à l’instauration de dispositifs de vidéosurveillances au sein de votre entreprise. Il s’agit avant tout de ne pas outrepasser les droits et libertés individuelles des individus par le RGPD. La surveillance illégale de ses salariés porte non seulement atteinte à leur vie privée ; mais elle entraîne des sanctions parfois irrémédiables au niveau des autorités de contrôle. N’oubliez pas que les salariés sont considérés, au sens du RGPD, comme des personnes vulnérables. C’est pourquoi il est recommandé de conduire des analyses d’impact afin de garantir la protection des données personnelles.

Sur les violations de données …

La CNIL a publié un article le 7 octobre 2020 relatif à des récupérations de numéros de carte bancaire qui seraient effectuées par injection SQL sur un site de e-commerce.

En ce qui concerne les injections SQL :

  • Il s’agit d’une technique permettant d’injecter du code de type SQL (langage informatique) dans les zones de champs des formulaires web ou dans les liens de page.
  • Cette technique permet aux attaquants d’avoir accès aux données des utilisateurs (en l’occurrence aux coordonnées bancaires).

Soyez particulièrement vigilants sur les mesures de sécurité que vous instaurez au sein de votre entreprise, ce sont elles qui permettent avant tout de protéger les données de vos clients.

Les Nouvelles Sanctions de la CNIL

Les Nouvelles Sanctions de la CNIL 1260 840 Optimex Data

La CNIL a prononcé récemment de nouvelles sanctions dans le courant du mois d’août, à l’encontre d’entités diverses.

Ce mois d’août est marqué par une toute nouvelle décision de la CNIL, réalisée en coopération avec d’autres autorités de contrôle européennes et par un durcissement de la règlementation en matière de contrôle des horaires des employés.

SPARTOO : Sanction de 250 000 euros d’amende et injonction sous astreinte de se conformer au RGPD

La société SPARTOO, société de vente de chaussures en ligne, disposant d’un site web accessible dans 13 pays de l’UE a été sanctionnée par la CNIL, dans une décision du 28 juillet 2020, pour différents manquements au RGPD concernant les données des clients, prospects et salariés en raison notamment du nombre de manquements et du nombre de personnes concernées :

  • Un manquement au principe de minimisation des données 

La CNIL a considéré que l’enregistrement intégral et permanent de l’ensemble des appels téléphoniques reçus était « excessif » par rapport à la finalité du traitement, tout comme l’enregistrement et la conservation des coordonnées bancaires des clients, lors de commandes réalisées par téléphone. Elle estime donc que les données collectées ne sont pas nécessaires à la finalité du traitement réalisé.

  • Un manquement à l’obligation de limitation de la durée de conservation des données

Aucune durée de conservation des données clients et prospects n’était mise en place par la Société SPARTOO qui conservait un nombre important de données d’anciens clients selon la CNIL.

  • Un manquement à l’obligation d’information des personnes

Selon la CNIL, les informations fournies par la Politique de confidentialité des données, en ligne sur le site internet n’était pas conforme avec les obligations du RGPD notamment concernant la base légale. En effet, SPARTOO avait indiqué comme seule base légale, le consentement alors que certains traitements étaient nécessaires à l’exécution d’un contrat ou relevaient de l’intérêt légitime de la Société.

De même, la CNIL considère que les salariés n’étaient pas suffisamment informés de l’enregistrement des appels téléphoniques passés par les clients.

  • Un manquement à l’obligation de sécurité des données

La CNIL relève que les mots de passe d’accès aux comptes clients n’étaient pas suffisamment robustes et que la conservation « en clair » des numérisations de carte bancaire, ne permettait « pas de garantir la sécurité des données bancaires des clients ».

Badgeuses photo : mise en demeure de plusieurs employeurs

La CNIL a réalisé 4 contrôles suite aux plaintes de plusieurs agents publics et salariés concernant le système de badgeuse mise en place sur leur lieu de travail par leur employeur. En effet, ce dispositif de contrôle d’accès par badge réalise une prise de photo systématique de l’employé à chaque pointage de celui-ci.

Selon la Commission, l’utilisation de ce type de dispositif est excessive au regard de la finalité du traitement visée. Elle considère donc qu’il contrevient au principe de minimisation et met en demeure les organismes concernés de se conformer aux exigences du RGPD en matière de dispositif de contrôle des horaires, dans un délai de 3 mois.

Pour en savoir plus concernant les mises en demeure prononcées par la CNIL, vous pouvez consulter le site de la CNIL en cliquant ici

Call Now Button