Optimex Data revient sur les dernières sanctions de la CNIL suite à des manquements aux obligations du RGPD.
Manquements au RGPD, la CNIL ne relâche pas sa vigilance
La CNIL poursuit sa lancée et continue de faire usage de son pouvoir de sanction à l’encontre des structures ne respectant leurs obligations en matière de protection des données à caractère personnel. En effet, la CNIL a récemment lourdement sanctionné plusieurs entités en raison des manquements suivants aux obligations au RGPD suivantes…
Traitement licite des données
L’une des obligations primordiales des structures est de respecter le principe de licéité du traitement de données réalisé – Article 6 du RGPD.
La société CLEARVIEW AI a notamment été sanctionnée le 17 octobre 2022 à hauteur de 20 millions d’euros en raison du traitement illicite qu’elle réalise dans le cadre de son logiciel de reconnaissance faciale CLEARVIEW AI. La CNIL a considéré que ce traitement était illicite en raison de l’absence de base légale pouvant justifier sa mise en œuvre. En effet, le consentement des personnes n’est pas recueilli et l’intérêt légitime ne permet pas de justifier le traitement notamment au regard du caractère intrusif du procédé et de la sensibilité des données.
Recueil du consentement préalable à la prospection commerciale
La CNIL maintient sa vigilance sur la prospection commerciale, thématique sur laquelle elle a été amenée à sanctionner à de nombreuses reprises.
Ainsi, EDF a été sanctionné d’une amende de 600 000 euros le 24 novembre 2022 pour différents manquements et notamment le non-respect des règles applicables en matière de consentement des personnes – Article L. 34-5 du CPCE et 7 du RGPD : l’absence de recueil de consentement valable avant tout envoi de sollicitation commerciale lors des campagnes 2020 et 2021, la non-tenue d’une liste de partenaires mise à disposition des personnes et l’absence de mise en place de mesures auprès des courtiers en données justifiant qu’un consentement valable avait été donné.
Information des personnes et respect de l’exercice des droits
Dans le cadre de la sanction prononcée à l’encontre d’EDF d’autres manquements ont également été constatés par la CNIL. En effet, EDF ne respectait pas son obligation d’information – Article 13 et 14 du RGPD, des personnes et avait publié sur son site une charte de protection des données personnelles incomplète au regard des exigences du RGPD.
Ce manquement a également été constaté pour la société DISCORD INC en raison du défaut d’information concernant les durées de conservation des données. La structure a été sanctionnée d’une amende de 800 000 euros pour différents manquements le 10 novembre 2022.
Respect de l’exercice des droits
La CNIL a également sanctionné EDF et CLEARVIEW AI pour non-respect du droit des personnes. Les manquements soulevés étaient divers notamment : l’absence de mettre à disposition des personnes des moyens simples d’exercer leurs droits et l’absence de réponse aux demandes de droits formulées – Article 12 du RGPD, et le non-respect du droit d’accès (Article 15 du RGPD) et du droit d’opposition – Article 21 du RGPD.
Durée de conservation
La société DISCORD INC a également été sanctionné par la CNIL en raison de son manquement à l’obligation de définir et d’appliquer une durée de conservation adaptée aux finalités du traitement – Article 5 du RGPD. En effet, la structure conservait un grand nombre de comptes utilisateurs inutilisés pendant des durées disproportionnées pouvant aller au-delà de 5 ans.
De même, INFOGREFE a également été sanctionné le 8 septembre 2022 car il prévoyait de conserver les données des membres et des abonnés 36 mois après la dernière prestation mais que cette durée n’était pas appliquée pour une partie des utilisateurs. L’amende s’est élevée au total à 250 000 euros en raison d’un autre manquement constaté.
Sécurité des données personnelles
La CNIL attache également une grande importance aux mesures mises en place afin de protéger les données. C’est pourquoi, EDF, INFOGREFFE et DISCORD ont également été sanctionnés pour non-respect de leur obligation d’assurer la sécurité des données – Article 32 du RGPD.
Les manquements soulevés sont divers : utilisation de mot de passe non robustes, transmission de mots de passe non temporaires en clair par courriel, conservation des mots de passe dans la base de données de manière non sécurisée…
Protection des données par défaut
Le manquement à l’obligation de garantir la protection des données par défaut – Article 25.2 du RGPD, a également été soulevée par la CNIL à l’encontre de DISCORD. En effet, DISCORD n’informait pas les personnes que le fait de fermer l’application ne coupait pas la connexion au salon vocal et permettait à des tiers connectés d’entendre les paroles de celles-ci. La CNIL a considéré que les personnes devaient être spécifiquement informées.
Obligation de réaliser une analyse d’impact
Dans le cadre de la même sanction prononcée à l’encontre de DISCORD, la CNIL a également relevé un manquement à l’obligation de réaliser une analyse d’impact – Article 35 du RGPD, au regard du volume de données traitées et de l’utilisation du service par des personnes mineures. C’est une première, la CNIL n’avait encore jamais sanctionné de structure pour ce manquement !
La coopération avec les services de la CNIL
Par ailleurs, les autorités de contrôle européennes ont récemment sanctionné la société META, société-mère de Facebook, Whatsapp et Instagram le 25 novembre 2022 d’une lourde amende de 265 millions d’euros.
Dans le cadre d’une enquête menée par le régulateur irlandais – DCP ou Data Protecton Commission, ouvert en avril 2021, celui-ci avait constaté le non-respect de son obligation de garantir la protection des données dès la conception et par défaut au regard de l’article 25 du RGPD.
Ainsi, les autres autorités de contrôle au sein de l’Union Européenne dans le cadre d’une coopération avec la DPC ont approuvé sa décision de sanction enregistrant des constatations de violation des articles 25-1 et 25-2 du RGPD.
Enfin, la CNIL a également rappelé dans sa sanction à l’encontre de CLEARVIEW AI que les structures devaient respecter leur obligation de coopérer avec les services de la CNIL. La structure mise en cause n’avait répondu que partiellement au questionnaire de contrôle de la CNIL et n’a pas répondu à la mise en demeure qui lui avait été adressée.
Il appartient alors aux organismes de ne pas relâcher leur attention et de poursuivre la veille de leur mise en conformité au RGPD.