Analyse des sanctions de la CNIL - par Philippe Pays, DPO externe indépendant

04/12/2019

La CNIL et le pouvoir de sanctionner 

 

Vous le savez : l’entrée en application du RGPD, la nouvelle norme européenne relative à la protection des données personnelles, est effective depuis le 25 mai 2018. Contrairement à ce que l’on pouvait penser de prime abord, ce règlement ne modifiait pas fondamentalement les législations déjà en place, à savoir : la loi informatique et libertés de 1978 ainsi que la directive européenne du 24 octobre 1995 pour la loi sur la confiance dans l’économie numérique de 2004. Cependant, la plupart des organismes ont été saisies d’un mouvement de panique à cause du montant des sanctions figurant dans le RGPD. En effet, ce texte permet à la CNIL d’infliger des amendes administratives allant jusqu’à 20 millions d’euros et, pour les très grosses entreprises, d’aller jusqu’à 4 % du chiffre d’affaires mondial consolidé. Il était évident qu’en fixant le montant des amendes à ce niveau, le but des législateurs était d’obliger les GAFAM à se plier à la réglementation sur la protection des données en raison du fait que les amendes de 150 000 euros prévues par les anciens textes n’étaient pas assez dissuasives pour es entreprises de la Silicon Valley.

 

C’est ce qui a permis à la CNIL d’infliger, en janvier 2019, une amende record de 50 millions d’euros à GOOGLE LLC. Il me semble important de rappeler que la CNIL est une juridiction qui jouit de deux pouvoirs distincts. Le premier : la possibilité de faire des contrôles et de se saisir elle-même pour juger les infractions constatées lors de ces derniers. Le deuxième pouvoir dont dispose la CNIL est tout simplement la possibilité d’infliger des amendes administratives. Sachez qu’il n’existe pas de procédure d’appel à ce type de sanctions, seul un recours devant le Conseil d’État étant envisageable.

 

Le RGPD étant entré en application depuis plus d’un an, j’ai décidé de réaliser une analyse des sanctions prononcées par la CNIL depuis l’entrée en vigueur du règlement européen dans le but d’en dégager les tendances jurisprudentielles ; en voici les éléments.

 

 

Diverses sanctions pour diverses raisons

 

Tout d’abord, la CNIL a réalisé, au cours de l’année 2018, plus de 310 contrôles. Beaucoup pense que ce chiffre sera largement dépassé pour l’année 2019. Une partie de ces contrôles est réalisée en ligne et concernent les sites internet. Revenons sur la sanction infligée à Google si vous le voulez bien : cette sanction de 50 millions d’euros est intéressante car elle porte sur le défaut de transparence des informations données aux utilisateurs. Il faut rappeler que l’article 12 du RGPD, impose aux responsables de traitement « de prendre des mesures appropriées pour fournir aux personnes concernées, des informations de façon concise, transparente, compréhensible et aisément accessible, en termes clairs et simples ». La plupart des entreprises ont cru bien faire en rédigeant des politiques de confidentialité de plusieurs dizaines de pages, avec des termes à la fois juridiques et techniques. Elles ont pensé que plus le texte était long, plus il était conforme et moins les utilisateurs le liraient. Disons-le franchement : c’était une erreur. Pour que les mentions d’informations soient conformes, il faut également qu’elles soient concises ET faciles à comprendre. De plus, point non négligeable, elles doivent être faciles à trouver ; pour accéder à celles de GOOGLE, il fallait passer par plusieurs étapes impliquant pas moins de 5 ou 6 actions d’où l’origine de la sanction. 

 

Plusieurs sanctions ont été prononcées à l’encontre d’organismes, qui avaient mis à la disposition de leurs clients ou adhérents, des espaces privés sur leur portail. Ces espaces privés leur permettaient d’accéder à leurs données, leurs commandes, leurs dossiers… L’erreur de ces organisations a été de transmettre aux personnes des liens hypertextes qui leur permettaient d’accéder directement à leur espace privé sans qu’il y ait de procédure d’authentification. Souvent, le lien était composé d’une adresse URL et d’un numéro de dossier. Il suffisait donc à une personne de modifier le numéro de dossier pour accéder à l’espace privé d’une autre personne. Ces cas ont concerné plusieurs organisations : 

 

- La société DARTY pour une amende de 100 000€

- La société OPTICAL CENTER pour une amende de 250 000€

- L’association pour le développement des foyers pour une amende de 75 000€

- La société BOUYGUES TÉLÉCOM pour une amende de 250 000€

- La société ACTIVE ASSURANCES pour une amende de 180 000€

- La société SERGIC pour une amende de 400 000€ 

 

Pour la société SERGIC, la CNIL a sanctionné également le non-respect des durées de conservation des données. Il s’agissait en l’occurrence des documents transmis par les candidats à une location de logement et dont le dossier n’avait pas été retenu. L’action de SERGIC de conserver ces données pendant une certaine durée était fondée. L’erreur de la société a été de le faire en base active et non sur un support d’archivage. UBER FRANCE SAS a été sanctionnée par la CNIL pour avoir insuffisamment sécurisé les données des utilisateurs de son service de VTC sur internet. Il faut rappeler qu’UBER a été victime de deux piratages : des pirates ont réussi à s’introduire dans son système informatique pour y voler les données personnelles de 57 millions de personnes. Parmi ces personnes se trouvaient des Français qui ont immédiatement porté plainte auprès de la CNIL. La première erreur d’UBER a été de ne pas protéger les mots de passe utilisés par ses développeurs en les stockant sur la plateforme Github. La seconde est d’avoir déclaré la violation de données plus d’un an après sa constatation alors que le RGPD oblige les organisations à déclarer une violation de données dans un délai de 72h. Il est apparu par la suite qu’UBER avait négocié avec les pirates et payé une rançon, pour que la fuite de données ne soit pas rendue publique. De plus, la CNIL n’est pas le seul organisme à avoir sanctionné UBER puisque ce dernier a également été condamné par l’autorité des Pays-Bas (600 000€) et par l’autorité britannique (385 000 livres).

 

 

Autre cas : une petite entreprise exerçant une activité de centre d’appel a été condamnée à 10 000 euros d’amende, pour avoir mis en place, à l’entrée de ces bureaux, un système de contrôle des horaires de travail basé sur la reconnaissance des empreintes digitales des salariés, sans en avoir demandé l’autorisation à la CNIL. Elle avait également mis en place un système qui enregistrait les conversations téléphoniques, sans que les salariés et leurs interlocuteurs en soient informés. Enfin, les postes de travail des salariés n’étaient pas suffisamment sécurisés par des mots de passe robustes.

 

Passons au cas suivant : une entreprise de 7 personnes a été condamnée à 20 000 euros d’amende pour avoir installé, dans ses bureaux, des caméras de vidéosurveillance qui filmaient en continu les salariés à leurs postes de travail. La CNIL a sanctionné le fait qu’il s’agissait d’un procédé de surveillance excessif et que les salariés n’avaient pas reçu d’informations suffisantes sur ce traitement. Là encore, la sécurité faisait partie des problèmes identifiés puisque la CNIL a fait remarquer que les postes de travail n’étaient pas suffisamment protégés par des mots de passe robustes.

 

L’office public des HLM de Rennes a été condamné à 30 000 euros d’amende pour détournement de finalité. Rappelons que l’article 5 du RGPD impose que les données à caractère personnel "soient collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités". Les finalités du traitement font partie des informations qu’il est essentiel de transmettre aux personnes concernées selon les articles 12 et 13 du RGPD. Ce qui est reproché à l’office d’HLM, c’est d’avoir utilisé le fichier des occupants de logements sociaux pour envoyer un courrier qui critiquait la décision du gouvernement de diminuer le montant des APL. La présidente de l’office des HLM considérait qu’il s’agissait d’un courrier d’information qui s’inscrivait dans le cadre de l’activité des HLM. La CNIL a considéré que la teneur et les termes du message étaient tels qu’il n’était pas de nature purement informative.

 

La dernière sanction en date, concerne une entreprise spécialisée dans l’isolation thermique des logements de particuliers : FUTURA INTERNATIONALE. Cette entreprise utilisait les services de sociétés spécialisées dans la prospection téléphonique. Sur la plainte d’une personne qui en avait assez de recevoir ce type d’appel, la CNIL a déclenché un contrôle. Au cours de celui-ci, elle a constaté que cette entreprise avait déjà reçu de nombreux messages de personnes se plaignant d’être démarchées. En octobre 2018, La CNIL a mis cette société en demeure d’adopter des mesures visant à se mettre en conformité avec le RGPD. Pas moins de 5 manquements avaient été constatés :

 

- absence de prise en compte des demandes d’opposition

- présence, dans les fichiers, de données non pertinentes·

- informations insuffisantes des personnes concernées, sur les traitements effectués sur leurs données et sur leurs droits

- manque de coopération avec la CNIL

- encadrement insuffisant des transferts de données hors de l’UE.

 

En novembre 2019, la CNIL a estimé que la société FUTURA INTERNATIONALE n’avait pas suffisamment respecté les termes de la mise en demeure et lui a donc infligé une amende de 500 000 euros.

 

 

Les principes à respecter 

 

Je conclurai cette analyse en encourageant les organisations à respecter les principes suivants :

 

1. Avant la mise en œuvre d’un traitement de données personnelles, il faut en avoir fixé les finalités et ne pas utiliser les données à d’autres fins.

 

2. Il faut soigner la rédaction des mentions d’informations aux personnes. Il n’est ni utile, ni nécessaire d’en faire trop. Ces mentions doivent être faciles à lire et à comprendre et les utilisateurs doivent y avoir accès facilement.

 

3. Les données des personnes doivent être protégées. Cela suppose de prendre toutes les mesures raisonnablement envisageables et d’identifier les failles de sécurité dans son système d’information. À ce sujet, il faut rappeler que les traitements de données qui peuvent présenter un risque pour les personnes doivent systématiquement faire l’objet d’une analyse d’impact.

 

4. Il faut éviter que des particuliers, voire des salariés, s’adressent à la CNIL pour se plaindre. Cela peut déclencher un contrôle qui peut déboucher sur la constatation d’infractions. Si cela se produit, les organisations se doivent de faire preuve de bonne volonté et de coopération avec l’autorité de contrôle.

 

 

 

Please reload

Posts à l'affiche

Les évolutions de Captain DPO en 2019

1/10
Please reload

Posts Récents
Please reload

Logiciel collaboratif pour DPO - Pilotez la conformité de votre organisation simplement et en toute confiance

​Captain DPO - Chez Jamespot
​66 rue Marceau Bâtiment C'  
​93100 Montreuil

Tél : 01.48.58.18.01

Mail : info@captaindpo.com