Manquements les plus constatés par la CNIL

Manquements les plus constatés par la CNIL

Manquements les plus constatés par la CNIL 1600 1068 OPTIMEX DATA | Conformité et formations RGPD

Ces derniers temps, la CNIL n’hésite pas à faire usage de son pouvoir de sanction à l’encontre des structures ne respectant leurs obligations en matière de protection des données à caractère personnel. En effet, la CNIL a récemment lourdement sanctionné plusieurs entités en raison des manquements au RGPD. Par conséquent, quels sont les manquements les plus constatés par la CNIL et faisant l’objet de sanction financière ?  C’est notre thématique du jour. Voici les manquements les plus constatés :

Traitement licite des données

L’une des obligations primordiales des structures est de respecter le principe de licéité du traitement de données réalisé (Article 6 du RGPD). La société CLEARVIEW AI a notamment été sanctionnée le 17 octobre 2022 à hauteur de 20 millions d’euros en raison du traitement illicite qu’elle réalise dans le cadre de son logiciel de reconnaissance faciale CLEARVIEW AI. La CNIL a considéré que ce traitement était illicite en raison de l’absence de base légale pouvant justifier sa mise en œuvre. En effet, le consentement des personnes n’est pas recueilli et l’intérêt légitime ne permet pas de justifier le traitement notamment au regard du caractère intrusif du procédé et de la sensibilité des données.

Recueil du consentement préalable à la prospection commerciale

La CNIL maintient sa vigilance sur la prospection commerciale, thématique sur laquelle elle a été amenée à sanctionner à de nombreuses reprises. Ainsi, EDF a été sanctionné d’une amende de 600 000 euros le 24 novembre 2022 pour différents manquements et notamment le non-respect des règles applicables en matière de consentement des personnes (Article L. 34-5 du CPCE et 7 du RGPD) : l’absence de recueil de consentement valable avant tout envoi de sollicitation commerciale lors des campagnes 2020 et 2021, la non-tenue d’une liste de partenaires mise à disposition des personnes et l’absence de mise en place de mesures auprès des courtiers en données justifiant qu’un consentement valable avait été donné. 

Le 29 décembre 2022, la CNIL a sanctionné APPLE DISTRIBUTION INTERNATIONAL à 8 millions d’euros pour ne pas avoir recueilli le consentement des utilisateurs français d’Iphone avant de déposer et/ou d’écrire des identifiants utilisés à des fins publicitaires sur leurs terminaux. VOODOO a également été sanctionné, le 29 décembre 2022, pour ce même motif, à hauteur de 3 millions d’euros.

Information des personnes et respect de l’exercice des droits

Dans le cadre de la sanction prononcée à l’encontre d’EDF d’autres manquements ont également été constatés par la CNIL. En effet, EDF ne respectait pas son obligation d’information (Article 13 et 14 du RGPD) des personnes et avait publié sur son site une charte de protection des données personnelles incomplète au regard des exigences du RGPD.

Ce manquement a également été constaté pour la société DISCORD INC en raison du défaut d’information concernant les durées de conservation des données. La structure a été sanctionnée d’une amende de 800 000 euros pour différents manquements le 10 novembre 2022.

Respect de l’exercice des droits

La CNIL a également sanctionné EDF et CLEARVIEW AI pour non-respect du droit des personnes. Les manquements soulevés étaient divers notamment : l’absence de mettre à disposition des personnes des moyens simples d’exercer leurs droits et l’absence de réponse aux demandes de droits formulées (Article 12 du RGPD) et le non-respect du droit d’accès (Article 15 du RGPD) et du droit d’opposition (Article 21 du RGPD).

Durée de conservation

La société DISCORD INC a également été sanctionné par la CNIL en raison de son manquement à l’obligation de définir et d’appliquer une durée de conservation adaptée aux finalités du traitement (Article 5 du RGPD). En effet, la structure conservait un grand nombre de comptes utilisateurs inutilisés pendant des durées disproportionnées pouvant aller au-delà de 5 ans. De même, INFOGREFE a également été sanctionné le 8 septembre 2022 car il prévoyait de conserver les données des membres et des abonnés 36 mois après la dernière prestation mais que cette durée n’était pas appliquée pour une partie des utilisateurs. L’amende s’est élevée au total à 250 000 euros en raison d’un autre manquement constaté.

Sécurité des données personnelles

La CNIL attache également une grande importance aux mesures mises en place afin de protéger les données. C’est pourquoi, EDF, INFOGREFFE et DISCORD ont également été sanctionnés pour non-respect de leur obligation d’assurer la sécurité des données (Article 32 du RGPD). Les manquements soulevés sont divers : utilisation de mot de passe non robustes, transmission de mots de passe non temporaires en clair par courriel, conservation des mots de passe dans la base de données de manière non sécurisée

Protection des données par défaut

Le manquement à l’obligation de garantir la protection des données par défaut (Article 25.2 du RGPD) a également été soulevée par la CNIL à l’encontre de DISCORD. En effet, DISCORD n’informait pas les personnes que le fait de fermer l’application ne coupait pas la connexion au salon vocal et permettait à des tiers connectés d’entendre les paroles de celles-ci. La CNIL a considéré que les personnes devaient être spécifiquement informées.

Obligation de réaliser une analyse d’impact

Dans le cadre de la même sanction prononcée à l’encontre de DISCORD, la CNIL a également relevé un manquement à l’obligation de réaliser une analyse d’impact (Article 35 du RGPD) au regard du volume de données traitées et de l’utilisation du service par des personnes mineures. C’est une première, la CNIL n’avait encore jamais sanctionné de structure pour ce manquement !

Les cookies

Sujet d’actualité, les cookies font régulièrement l’objet de plusieurs sanctions de la part de la CNIL. Celle-ci estime régulièrement que le bandeau de gestion des cookies ne permet pas de refuser aussi facilement que d’accepter les cookies présents sur un site internet.

Ainsi, TIKTOK a été sanctionné, le 29 décembre 2022, à hauteur de 5 millions d’euros d’amende car la CNIL estime que le mécanisme de refus est tellement complexe qu’il décourage les utilisateurs à refuser les cookies en les incitant à privilégier le bouton d’acceptation. MICROSOFT IRELAND OPERATIONS LIMITED a également été sanctionnée, le 19 décembre 2022, à 60 millions d’euros pour ne pas avoir mis en place un mécanisme permettant de refuser les cookies aussi facilement que de les accepter.

La coopération avec les services de la CNIL

Enfin, la CNIL a également rappelé dans sa sanction à l’encontre de CLEARVIEW AI que les structures devaient respecter leur obligation de coopérer avec les services de la CNIL. La structure mise en cause n’avait répondu que partiellement au questionnaire de contrôle de la CNIL et n’a pas répondu à la mise en demeure qui lui avait été adressée.

Avec l’ensemble de ces sanctions, nous souhaitions démontrer que la CNIL est fortement active ces derniers temps. Nous constatons une hausse des mises en demeure et sanctions au fil des ans. Nous ne sommes plus dans une phase de « pédagogie » ! Et si vous vous avez des questions à propos des manquements au RGPD constatés pas la CNIL… Contactez-nous !

S’inscrire à notre newsletter.

    Votre nom *

    Votre Email *

    Veuillez saisir le code ci-dessous :

    captcha

    Les informations recueillies par le biais de ce formulaire sont enregistrées et transmises aux services concernés d’OPTIMEX DATA et nous permettent de vous envoyer notre lettre d’information concernant les services que nous proposons. La base légale du traitement est le consentement. Les données collectées sont conservées jusqu’à votre désinscription (lien de désinscription intégré à la Newsletter) dans nos fichiers informatiques. Vous disposez d’un droit d’accès, de rectification, d’opposition, de limitation au traitement et d’effacement. Pour en savoir plus sur l’utilisation de vos données et sur vos droits issus de la Loi Informatique et Libertés modifiée ainsi que du RGPD, veuillez consulter notre politique de protection des données ou nous contacter à privacy@optimex-data.fr.

    logo optimex data

    @Optimex Data 2024 – Tous droits réservés

    OPTIMEX DATA, sécurité et conformité RGPD en toute sérénité !

    Call Now Button