Les sanctions RGPD

Depuis l’entrée en application du RGPD, de nouvelles sanctions administratives dissuasives ont été mises en place.

En cas de manquements, la CNIL (autorité de contrôle en France), peut :

✔️ prononcer des sanctions pécuniaires jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial ;

✔️ prononcer un rappel à l’ordre ;

✔️ ordonner la mise en conformité d’un ou plusieurs traitements, sous astreinte ;

✔️ restreindre ou suspendre des flux de données ;

✔️ limiter un traitement de façon temporaire ou définitive ;

✔️ enjoindre de répondre à des demandes d’exercice des droits des personnes parfois sous astreinte ;

✔️ rendre publique la décision.

Depuis 2018, les sanctions prononcées n’ont eu de cesse d’augmenter d’année en année. 2021 a été une année sans précédent pour la CNIL et le montant cumulé des amendes a dépassé les 214 millions d’euros !

Une procédure simplifiée de contrôle a été créée par une loi adoptée fin janvier 2022. Elle pourra être mise en œuvre à certaines conditions par le Président de la formation restreinte de la CNIL ou un membre désigné permettant d’infliger l’une des sanctions suivantes :

✔️ un rappel à l’ordre ;

✔️ une injonction de mise en conformité d’un ou plusieurs traitements sous astreinte ;

✔️ une amende administrative allant jusqu’à 20 000 €.

Les contrôles peuvent être effectués par la CNIL notamment sur la base de plaintes reçues et des sujets d’actualités. En parallèle et chaque début d’année sont retenues des thématiques prioritaires pour les contrôles de la CNIL. 

Les 3 thèmes retenus pour l’année 2022 sont les suivants :

✔️ la prospection commerciale ;

✔️ les outils de surveillance dans le cadre du télétravail ;

✔️ l’utilisation du « cloud » computing ou le recours à une technologie d’informatique en nuage.

La CNIL a prononcé le 28 décembre 2021, une sanction de 180 000 euros à l’encontre de la société SLIMPAY qui propose des solutions de paiement à ses clients. Les défauts de protection et de sécurisation des données personnelles étaient à l’origine de cette sanction. Parmi les données traitées par la société SLIMPAY figuraient notamment des données bancaires (BIC/IBAN). La société SLIMPAY, victime d’une violation de données, n’avait notifié ni la CNIL ni les personnes concernées. Cet incident concernait plus de 12 millions de personnes !

Une TPE de 9 salariés a été sanctionnée par la CNIL le 13 juin 2019 à payer une amende de 20 000 euros assortie d’une astreinte de 200 euros par jour de retard. L’employeur avait installé dans son entreprise des caméras de vidéosurveillance qui filmaient en permanence les employés sur leurs postes de travail. En plus de la violation des droits et libertés des personnes par une utilisation trop intrusive de la vidéosurveillance, l’employeur a manqué à son obligation d’informer les salariés sur le traitement de leurs données.

La société Nestor a été sanctionnée en décembre 2020 par la CNIL à payer une amende de 20 000 euros. La société avait envoyé des e-mails de prospection à des personnes sans avoir obtenu leur consentement au préalable. Plusieurs autres manquements ont été constatés, notamment l’absence de mention d’information des personnes sous le formulaire de contact du site internet ou encore pour la création d’un compte sur l’application mobile. La politique de protection des données personnelles était incomplète et trop générale.

Par ailleurs, la société Nestor n’a pas su donner droit aux demandes d’accès reçues par les personnes concernées. Enfin, le mot de passe exigé pour la création d’un compte sur le site internet et/ou sur l’application mobile a été jugé trop faible par la CNIL.

Deux médecins libéraux ont été sanctionnés par des amendes de 6 000 euros et 3 000 euros pour avoir manqué à leur obligation d’assurer la sécurité des données personnelles de leurs patients. Ils n’ont pas rempli leur obligation de notification de violation de données à la CNIL.

La société nouvelle de l’annuaire français (SNAF) a été sanctionnée le 15 septembre 2021 à hauteur de 3 000 euros. Elle ne respectait pas les droits des personnes concernées, ces dernières ne pouvant rectifier leurs données ni en demander l’effacement. La CNIL a également relevé des manquements à l’obligation de tenir un registre d’activités de traitement et à l’obligation de coopération durant un contrôle de conformité.

Dans sa délibération en date du 30 juin 2022, la CNIL a prononcé une sanction de 1 million d’euros à l’encontre de TOTAL ÉNERGIES. Parmi les manquements relevés, la société ne donnait aucun moyen d’opposition aux utilisateurs concernant la réutilisation de leurs données à des fins de prospection commerciale.

Par ailleurs, d’autres manquements ont été mis en évidence à la suite des investigations de la CNIL : un manquement à l’obligation d’information des personnes démarchées téléphoniquement ; un manquement à l’obligation de respecter le droit d’accès aux données ; un manquement aux obligations relatives aux modalités d’exercice des droits. En effet, la société ne répondait pas aux demandes d’exercices de droit dans le délais prévu par le RGPD (un mois).

Dans une autre délibération en date du 14 juin 2021, la CNIL a infligé une amende de 500 000 euros à la société BRICO PRIVÉ.

Après trois contrôles, la CNIL a notamment constaté que :

✔️ les durées de conservation fixées par la société dans son registre n’étaient pas respectées. Des données de centaines de milliers de clients étaient conservées au-delà des durées initialement prévues ;

✔️ l’information des personnes concernées ne comportait pas l’ensemble des informations obligatoires ;

✔️ le droit à l’effacement n’était pas respecté, la société procédait uniquement à la désactivation des comptes ;

✔️ la sécurité des données n’était pas assurée. D’une part, l’utilisation d’un mot de passe robuste lors de la création de compte utilisateur n’était pas imposée. D’autre part, les mots de passe des salariés qui permettaient l’accès à la base de données client n’étaient pas assez robustes et étaient conservés en clair dans un fichier texte contenu sur un ordinateur.

Le 29 octobre 2021, la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la RATP. Plusieurs centres de bus avaient saisi dans des fichiers d’évaluation le nombre de jours de grève de leurs agents. Ce fichier permettait de gérer l’évolution de carrière et les promotions attribuées aux agents. Parmi les infractions constatées :

✔️ un manquement au respect du principe de minimisation des données. En effet, des données non nécessaires à la préparation de l’évolution de carrière des agents étaient collectées (le nombre de jours de grève exercés par les agents) ;

✔️ un manquement à l’obligation de limiter les durées de conservation des données. Les données permettant le suivi d’activité des agents étaient conservées pendant plus de trois ans alors que leur conservation pour atteindre la finalité initialement fixée n’avait pas besoin de dépasser 18 mois ;

✔️ un manquement à la sécurité des données. La gestion des habilitations n’était pas satisfaisante et l’ensemble des données était accessible à tous les agents peu importe leurs fonctions ou leurs missions.

Une société de téléphonie mobile française a fait l’objet de plusieurs plaintes. Elles témoignaient notamment des difficultés rencontrées par les personnes concernées à exercer leurs droits d’accès et d’opposition à recevoir de la prospection commerciale de la part de Free mobile. D’autres manquements concernant l’obligation de protection des données personnelles ont également été constatés par la CNIL.

En janvier 2021, la CNIL a sanctionné un responsable de traitement et son sous-traitant  de données pour ne pas avoir mis en place de mesures adéquates notamment à la suite d’attaques de « credential stuffing ». Après avoir subi des premières cyber-attaques, les deux sociétés se sont concentrées à développer un outil pour faire face à ces menaces de type « credential stuffing ». L’élaboration de l’outil ayant nécessité plus d’une année de travail, aucune autre mesure n’avait été mise en place. 40 000 clients ont été impactés par des attaques subies à cause des manquements constatés. La CNIL a décidé de sanctionner la négligence des deux sociétés. Elle a estimé que le responsable de traitement aurait dû mettre en place des mesures pendant l’année écoulée et que le sous-traitant devait l’assister et lui proposer des solutions appropriées.

L’année 2022 a débuté sur les chapeaux de roue : Google et Facebook se sont vu sanctionnés respectivement de 150 millions et 60 millions d’euros. La raison principale de ces sanctions ? L’utilisation de cookies et de traceurs sans respecter le recueil du consentement des internautes.

La CNIL avait reçu plusieurs plaintes de personnes qui dénonçaient les pratiques de Google et Facebook sur les traitements consistant aux dépôts de traceurs lors des visites sur leurs sites. La CNIL a donc effectué des contrôles en ligne et a constaté qu’aucun moyen pour refuser le dépôt de cookies aussi simplement que de les accepter n’était mis en place. Aussi, la CNIL en a déduit que les internautes n’avaient pas le choix d’exprimer librement leur consentement et que l’information fournie aux utilisateurs ne leur permettait pas de comprendre clairement qu’ils pouvaient refuser le dépôt de cookies.

Finalement, se mettre en conformité, ça coûte moins cher ! 😉