RGPD : quelles sanctions ?

Exemples

Deux études de cas permettent d’éclairer tant sur les contours des obligations mises à la charge du responsable de traitement et de son sous-traitant que sur les sanctions pouvant être prononcées.

Affaire NESTOR

Absence de consentement à la réception d'un message publicitaire
Une société NESTOR adressait des messages publicitaires à des personnes qui avaient créé un compte sur son site ou tout simplement en récupérant leurs coordonnées sur Internet.
Absence d'information sur le traitement de données personnelles
La CNIL rappelle que la personne concernée ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder.

Elle constate que l’information mise à disposition des utilisateurs du site et de l’application, n’était ni complète, ni aisément accessible.
Manquement à l'obligation de respecter le droit d'accès
La société a manqué à son obligation de fournir aux plaignants une copie des données à caractère personnel les concernant qu’elle détenait dans sa base de données, ainsi qu’une information relative à la source de ces données.
Manquement à l'obligation d'assurer la sécurité
La CNIL constate qu’un mot de passe composé d’un seul caractère était accepté lors de la création d’un compte.

Elle rappelle que pour présenter un niveau de sécurité suffisant le mot de passe doit comporter au minimum douze caractères - contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial [...].
Sanction
La formation restreinte de la CNIL prononce une amende administrative d’un montant de 20 000 € et enjoint à la société de mettre en conformité les traitements avec les obligations résultant du RGPD.
Précédent
Suivant

Affaire PERFORMECLIC

Manquement à l’obligation de recueillir le consentement du prospect
La CNIL relève que la société n’est en mesure de prouver ni qu’elle-même recueille de manière effective le consentement des personnes prospectées ni que la société […] aurait valablement recueilli le consentement desdits prospects préalablement à la cession de sa base.
Manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données
La CNIL relève que les champs code postal et numéro de téléphone étaient renseignés sur la fiche de contact d’un prospect alors qu’il ressortait de l'enquête que ces informations n'étaient pas utilisées par la société.
Manquement à l’obligation de conserver les données pendant une durée raisonnable
La société conservait plus de trois ans les coordonnées d’environ 5 millions de prospects ayant uniquement ouvert les courriels.

La CNIL considère que l’action permettant de matérialiser le point de départ du délai de conservation des données des prospects ne saurait être la simple ouverture d’un courriel.
Manquement à l’obligation d’information
La formation restreinte relève que la mention d’information présente en bas des courriels de prospection adressés aux personnes dont les données à caractère personnel ont été collectées de manière indirecte n’est pas conforme à l’article 14 du RGPD (identité du responsable, base juridique, catégories de données concernées, durée de conservation, droits des personnes et la source d’où proviennent les données).
Manquement relatif au droit d’opposition
La CNIL rappelle que l’article 12 du RGPD impose au responsable de traitement de faciliter l’exercice des droits conférés à la personne concernée, ce que la société n’a pas fait, en n’offrant pas aux personnes concernées de modalité d’exercice des droit satisfaisante et en ne les informant pas de l’existence de canaux permettant de se désinscrire de l’ensemble des comptes et en les invitant à les utiliser pour exercer leur droit d’opposition.
Manquement à l’obligation d’encadrement contractuel du sous-traitant
La CNIL relève que le contrat conclu entre la société et son sous-traitant ne contient pas de clauses prévoyant que le sous-traitant :
- veille à ce que les personnes autorisées à traiter les données respectent la confidentialité ;
- met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations à l'article 28 du RGPD.
Sanction
La formation restreinte de la CNIL prononce une amende administrative d’un montant de 7 300 € et enjoint à la société de mettre en conformité les traitements avec les obligations résultant du RGPD.
Précédent
Suivant

Cette décision nous éclaire sur la définition du responsable du traitement :

La rapporteure considère qu’en l’espèce la société est responsable du traitement de données personnelles [...]. Ce constat est notamment établi à partir de l’analyse des relations contractuelles entre la société et ses clients, dont il ressort que la société s’engage vis-à-vis des annonceurs à disposer d’adresses électroniques d’internautes ayant donné leur consentement à recevoir des messages publicitaires de la part de personnes tierces [...], et que la société utilise pour ce faire sa propre base de données de prospects, dont elle définit les données personnelles qu’elle contient, les durées pendant lesquelles elles sont conservées et les éventuelles mises à jour devant être opérées.

Extrait de la délibération

Elodie Gasparini

Partager cet article avec vos ami·es

Facebook
Twitter
LinkedIn