Une pluie de sanctions grâce à la procédure simplifiée !

Comme nous l’avions évoqué dans notre actualité du 16 mars 2023, la CNIL ne cesse d’utiliser sa nouvelle procédure simplifiée pour prononcer des sanctions à l’encontre des organismes ne respectant pas les dispositions du RGPD et de la Loi Informatique et Libertés.

Pour rappel, cette procédure permet à la Présidente de la CNIL de désigner un agent de la CNIL qui sera en charge d’instruire le dossier. Les sanctions susceptibles d’être prononcées dans ce cadre sont limitées au rappel à l’ordre, à une amende d’un montant maximum de 20 000€ et à une injonction avec astreinte plafonnée à 100€ par jour de retard. Ces sanctions ne peuvent, en revanche, pas être rendues publiques.

Ainsi, ces deux derniers mois, la CNIL a rendu dix (10) nouvelles décisions pour un montant total de 97 000€ d’amende notamment pour les manquements suivants :

• Défaut de coopération avec la CNIL ;
• Non-respect des droits des personnes (défaut de réponse à une demande de droit notamment au droit d’opposition) ;
• Non-respect à l’obligation d’information ;
• Non-respect du principe de minimisation des données (ex. géolocalisation ou encore vidéosurveillance).

D’autres sanctions ont été prononcées ces derniers mois dans le cadre de la procédure ordinaire notamment pour les raisons suivantes :

• Manquement à l’obligation de désigner un Délégué à la Protection des Données (DPO) : la commune de KOUROU a été sanctionnée à une amende de 5000€ d’amende assortie d’une astreinte de 150€ par jour de retard. Rappel des faits: La commune de KOUROU faisait partie des vingt-deux (22) communes mises en demeure le 25 avril 2022 par la CNIL pour défaut de désignation DPO. Celles-ci avaient quatre (4) mois pour se conformer ce que la commune de KOUROU n’a pas fait. A l’issue de ce délai, la commune de KOUROU a été sanctionnée, par le biais de la procédure simplifiée, à une première amende de 5000€ avec une injonction de se mettre en conformité sous un délai de trois (3) mois. N’ayant pas respecté ce délai et cette injonction, la CNIL a décidé de passer par le biais de la procédure ordinaire et a sanctionné la commune d’une amende de 5000€ avec une injonction sous astreinte.
• Manquement aux règles en matière commerciale, non-respect des droits des personnes, défaut de contractualisation avec le sous-traitant, manquement à l’obligation de sécurité des données et manquement à l’obligation de notifier une violation de données: le groupe CANAL+ a été sanctionnée à hauteur de 600 000€ d’amende. Rappel des faits : le Groupe CANAL+ n’a pas été en mesure de prouver que les utilisateurs avaient donné leur consentement pour de la prospection commerciale. De plus, les formulaires de collecte de données des prospects mis à disposition par les partenaires commerciaux ne contenaient aucune information RGPD et ne permettaient pas de connaitre la liste des destinataires.
• Manquement au principe de minimisation des données et de coopération : la société SAF LOGISTICS a été sanctionnée à hauteur de 200 000 € pour avoir collecté une quantité trop importante de données auprès des salariés, d’avoir porté atteinte à leur vie privée et pour avoir insuffisamment coopéré avec les services de la CNIL.

Un rappel à l’ordre au ministère de la Transformation et de la Fonction publiques et le ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique a également été fait le 09 novembre 2023 pour avoir utilisé les coordonnées des agents publics dans le cadre de la réforme des retraites.

Si vous avez des doutes quant à l’utilisation des données personnelles des personnes, n’hésitez pas à prendre contact avec votre Délégué à la Protection des Données qui vous indiquera la marche à suivre.