Sanctions CNIL, Bilan Avril 2022

Depuis le début d’année, la CNIL poursuit sa stratégie répressive et use de son pouvoir de sanction à l’encontre des entreprises ne respectant pas leurs obligations en matière de protection des données.

Elle a notamment mis en demeure trois sociétés pour avoir transmis à des partenaires des données de prospects sans recueil de leur consentement.

Suite à de nombreuses plaintes, la CNIL a effectué des contrôles auprès de ces sociétés. Cela lui a permis de constater que ces dernières transmettaient et réutilisaient des données pour de la prospection commerciale par courriel et SMS sans le consentement préalable des personnes.

Cette décision vient rappeler l’importance du recueil de consentement dans le cadre de la prospection commerciale et sur la nécessité de respecter le RGPD et les recommandations de la CNIL. A ce titre, le référentiel sur la gestion commerciale publié par la CNIL informe sur les pistes à suivre pour mettre en place des mesures visant à garantir un haut niveau de protection des données.

Si les mesures mises en place ne sont pas suffisantes pour garantir ce haut niveau de protection des données et que la CNIL effectue des contrôles, cette dernière peut prononcer des sanctions. C’est le cas de la société DEDALUS BIOLOGIE, qui vient d‘être sanctionnée à hauteur de 1,5 million d’euros par la CNIL.

Il est reproché à la société spécialiste des solutions logicielles pour les laboratoires d’analyse médicale, notamment :

• D’avoir extrait un volume de données plus important que celui requis,
• De ne pas avoir garanti un niveau de sécurité des données satisfaisant,
• De ne pas avoir respecté les dispositions du RGPD en sa qualité de sous-traitant.

Ces manquements ont donné lieu à une violation de données, concernant notamment des données sensibles : numéro de sécurité sociale, informations médicales… ayant impacté près de 500 000 personnes, ce qui justifie la sanction prononcée compte tenu de la gravité des manquements constatés.

En usant de son pouvoir de sanction, la CNIL vient pousser les entreprises à se mettre en conformité au RGPD et à mettre en place des mesures adéquates pour protéger les données qu’elles détiennent.

La CNIL est d’ailleurs venue clôturer l’injonction prononcée à l’encontre de la société SPARTOO, sanctionnée en 2020 à hauteur de 250 000 euros d’amende. En effet, SPARTOO s’est mis en conformité au RGPD suite à cette sanction et a corrigé les manquements constatés en 2020, notamment en :

• N’enregistrant plus l’intégralité des appels téléphoniques reçus par son service clients,
• Ne conservant plus les données de ses clients au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées,
• Complétant les mentions d’information à destination de ses salariés et de ses clients,
• Renforçant les mots de passe associés aux comptes des clients.

Même si la CNIL use de son pouvoir de sanction, elle met aussi à disposition des outils afin d’aider les organismes à se conformer à leurs obligations en matière de RGPD.

N’hésitez pas à nous solliciter si vous avez des questions sur les mesures qui ont été mise en place dans votre structure ou si vous avez des demandes impliquant des données personnelles !