Investie d’un pouvoir de contrôle et de sanction en tant qu’autorité de contrôle ainsi qu’autorité chef de file, la CNIL est en charge d’assurer le respect des dispositions du Règlement Général à la Protection des données (RGPD).
La CNIL a largement communiqué sur son souhait d’accompagner l’ensemble des acteurs vers une bonne compréhension et une mise en œuvre opérationnelle du RGPD. Mais, elle a également pris le soin de distinguer le type de manquements constatés selon qu’il s’agisse de principes fondamentaux de la protection des données (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.) ou de nouvelles obligations et droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.).
En effet, rappelons que la France s’est déjà dotée d’un arsenal juridique particulièrement étoffé avant l’entrée en vigueur du RGPD, si bien que la CNIL ne saurait faire preuve de clémence concernant les obligations résultant de la Loi informatique et Libertés (ci-après « LIL »), reprises au sein du Règlement européen.
Découvrez ci-dessous un panorama de sanctions prononcées par la CNIL au regard des manquements les plus récurrents en matière de protection des données personnelles.
Condamnations pour manquements à la sécurité des données
Les défauts de sécurisation des données sont désormais un motif récurrent de plainte. La CNIL n’hésite pas à prononcer des sanctions pécuniaires conséquentes afin que les acteurs de traitements veillent à assurer la sécurité et la confidentialité des données qu’ils traitent.
Cas BOUYGUES TELECOM – La formation restreinte de la CNIL a prononcé une sanction de 250.000 euros à l’encontre de l’opérateur de télécommunication français dans la mesure où, à la suite d’un signalement, un contrôle a permis de déterminer la possibilité d’accéder à des contrats et factures de client B&You par la modification d’une adresse URL. L’opérateur responsable de traitement a ainsi violé l’obligation d’assurer la sécurité et la confidentialité des données en faisant le choix de ne pas mettre en œuvre de mesure complémentaire à l’authentification des utilisateurs du site web concerné. Le montant de l’amende a toutefois été modéré au regard de la réactivité et du déploiement de nouvelles mesures par le responsable de traitement (Délibération du 26 décembre 2018 prononçant une sanction pécuniaire à l'encontre de la société BOUYHUES TELECOM).
Cas ACTIVE ASSURANCES – La CNIL a été saisie d’une plainte formée par un client d’une société d’intermédiaire en assurance, indiquant qu’il avait accès aux données personnelles d’autres clients. En effet, le contrôle de la CNIL a permis d’établir que de nombreux documents (permis de conduire, carte grise, RIB, documents permettant de savoir si le candidat à l’assurance ou l’assuré a fait l’objet d’un retrait de permis ou délit de fuite) disponibles sur l’espace client étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Le responsable de traitement a ainsi violé l’obligation de sécurisation des données à caractère personnel prévue par l’article 32 du RGPD et a fait l’objet d’une sanction financière d’un montant de 180.000 euros eu égard à la nature des données concernées et du nombre conséquent de comptes affectés. Là encore, la CNIL a tenu compte de la réactivité de la société et de sa coopération afin de minorer le montant de l’amende (Délibération du 18 juillet 2019 prononçant une sanction pécuniaire à l'encontre de la société ACTIVE ASSURANCES).
Cas SERCIG - Spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière, la société SERCIG a été condamnée par la formation restreinte de la CNIL au paiement de la somme de 400.000 euros pour avoir manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site. En effet, à la suite d’une plainte, la CNIL a constaté que de nombreux documents des candidats à la location (carte vitale, relevés de compte, attestations CAF, jugements) étaient librement accessibles et ce sans authentification préalable par les utilisateurs (Délibération du 28 mai 2019 prononçant une sanction pécuniaire à l'encontre de la société SERGIC).
Condamnations pour manquement aux droits des personnes
La CNIL a souhaité attirer l’attention particulière des organismes responsables de traitement sur la nécessité de respecter les droit des personnes, notamment dans le contexte du démarchage téléphonique.
Cas FUTURA – Une sanction de 500.000 euros à l’encontre de l’entreprise spécialisée dans l’activité d’isolation thermique des domiciles de particuliers a été prononcée par la formation restreinte de la CNIL. Son activité de démarchage a fait l’objet d’une sous-traitance à des centres d’appels principalement situés en dehors de l’Union Européenne. Un consommateur a informé la CNIL de ce qu’il était régulièrement contacté par cette société, malgré avoir indiqué au téléopérateur s’opposer au traitement de ses données personnelles. La CNIL a relevé de nombreux manquements aux textes applicables en matière de protection des données, dont l’absence de prise en compte du droit d’opposition ainsi que l’information insuffisante des personnes démarchées (Délibération du 21 novembre 2019 prononçant une sanction financière à l’encontre de la société FUTURA).
Aussi, la condamnation récente de deux filiales du groupe CARREFOUR rappelle l’importance que l’autorité de contrôle accorde aux droits des personnes concernées par le traitement de leur données.
CARREFOUR FRANCE et CARREFOUR BANQUE – L’autorité de contrôle française a été saisie de nombreuses plaintes de clients et prospects du groupe de distribution. Au regard des nombreux manquements reprochés aux deux entités du groupe, la formation restreinte de la CNIL a sanctionné la société CARREFOUR FRANCE d’une amende de 2.250.000 euros et la société CARREFOUR BANQUE d’une amende de 800.000 euros. Parmi les manquements relevés à l’encontre des filiales de la société CARREFOUR figure celui relatif aux modalités d’exercice des droits des personnes. S’agissant du droit à l’information, la CNIL relève que l’information fournie aux personnes concernées n’est pas conforme aux préconisations de l’article 13 du RGPD tant au regard de son accessibilité que de son contenu pour le moins lacunaire. Aussi, la société CARREFOUR FRANCE n’a pas répondu aux demandes de droit d’accès, ni procédé à l’effacement de données malgré les sollicitations des personnes concernées. Enfin, il lui était également reproché de n’avoir pas pris en considération le droit d’opposition à la prospection commerciale par SMS et courrier électronique (Délibération du 18 novembre 2020 concernant la société CARREFOUR FRANCE, Délibération du 18 novembre 2020 concernant la société CARREFOUR BANQUE).
Manquements relatifs au principe de minimisation des données
Le principe de minimisation implique que le responsable de traitement collecte et traite uniquement les données qui sont nécessaires au traitement. La CNIL veille à ce que seules les informations pertinentes et strictement nécessaires au regard de la finalité du fichier soient traitées.
Cas SPARTOO – En coopération avec d’autres autorités de contrôle européennes, la CNIL a sanctionné la société SPARTOO, spécialisée dans l’activité de e-commerce de chaussures, au regard de nombreux manquements concernant les données de ses clients, prospects et salariés. La CNIL reprochait notamment au responsable de traitement d’avoir violé le principe de minimisation des données couvert par l’article 5-1 c) du RGPD, lequel prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Partant, l’enregistrement intégral et permanent des appels téléphoniques reçus par le service client était excessif. Aussi l’enregistrement et la conservation des coordonnées bancaires des clients n’apparaissait pas nécessaire à la finalité poursuivie par le traitement, à savoir la formation des salariés.
Non respect de la durée de conservation des données
Le manquement à l’obligation de limiter la durée de conservation des données personnelles est également relevé à de nombreuses reprises au sein des délibérations de la formation restreinte de la CNIL.
Cas SERCIG - l’autorité de contrôle a également sanctionné le manquement à l’article 5-1 e) du RGPD relatif à l’obligation de limitation de la durée de conservation des données, dans la mesure où la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à la location.
Cas SPARTOO - la CNIL a également relevé l’absence de durée de conservation mise en place, ainsi que de procédure d’archivage. Aussi, la société avait mis en place une durée de conservation de cinq ans concernant les données de ses prospects, alors qu’aucune prospection commerciale ne leur était adressée à l’issue d’un délai de deux années sans manifestation d’intérêt pour ses produits.
Cas CARREFOUR - le distributeur ne respectait pas les durées de conservation qu’il avait pourtant lui-même fixées.
Le cas particulier du dépôt de cookies publicitaires
La CNIL veille également au respect par les responsables de traitement de la directive « ePrivacy » et a fait part de son plan d’action relatif à l’utilisation des cookies et autres traceurs comme outil de ciblage publicitaire par les opérateurs.
Cas GOOGLE LLC et GOOGLE IRELAND LIMITED – Par délibération en date du 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans recueillir au préalable le consentement de l’utilisateur. Aussi, il était reproché au contrevenant de ne pas fournir l’information nécessaire, les utilisateurs n’étant pas clairement renseignés quant au dépôt de cookies sur leur ordinateur, et par conséquent des objectifs poursuivis ni de la possibilité de les refuser. La CNIL justifie le montant d’une telle sanction par la portée des manquements, affectant près de 50 millions d’utilisateurs. Aussi, l’autorité de contrôle relève que les bénéfices tirés des manquements reprochés à GOOGLE sont considérables, les revenus publicitaires étant indirectement générés à partir des données collectées par les cookies.
A la suite de la publication de ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs le 1er octobre 2020, l’autorité de contrôle a sollicité que l’ensemble des acteurs se conforment aux règles applicables au dépôt de cookies, estimant que celles-ci sont à présent claires et qu’une période d’adaptation ne saurait dépasser six mois.