Exemples
Deux études de cas permettent d’éclairer tant sur les contours des obligations mises à la charge du responsable de traitement et de son sous-traitant que sur les sanctions pouvant être prononcées.
Affaire NESTOR
Elle constate que l’information mise à disposition des utilisateurs du site et de l’application, n’était ni complète, ni aisément accessible.
Elle rappelle que pour présenter un niveau de sécurité suffisant le mot de passe doit comporter au minimum douze caractères - contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial [...].
Affaire PERFORMECLIC
La CNIL considère que l’action permettant de matérialiser le point de départ du délai de conservation des données des prospects ne saurait être la simple ouverture d’un courriel.
- veille à ce que les personnes autorisées à traiter les données respectent la confidentialité ;
- met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations à l'article 28 du RGPD.
Cette décision nous éclaire sur la définition du responsable du traitement :
La rapporteure considère qu’en l’espèce la société est responsable du traitement de données personnelles [...]. Ce constat est notamment établi à partir de l’analyse des relations contractuelles entre la société et ses clients, dont il ressort que la société s’engage vis-à-vis des annonceurs à disposer d’adresses électroniques d’internautes ayant donné leur consentement à recevoir des messages publicitaires de la part de personnes tierces [...], et que la société utilise pour ce faire sa propre base de données de prospects, dont elle définit les données personnelles qu’elle contient, les durées pendant lesquelles elles sont conservées et les éventuelles mises à jour devant être opérées.
Extrait de la délibération