Bonjour, je peux vous aider ?
Discutons !

Posez une question

February 10, 2020

Conseils juridique et social

- Modifié le February 10, 2020

CNIL : LES AMENDES AVANT ET APRES LE RGPD

Dans la première partie, nous avons pu constater que l’arrivée du règlement sur la protection des données a donné lieu à une inflation des sanctions. Dans cette deuxième partie, Benjamin s’est penché sur les motivations de la sanction.

04 – Une pluralité de manquements ?

 

 

 

Défaut de proportionnalité

Il est invoqué lorsque les données traitées sont jugées excessives au regard des buts poursuivis par l’organisme. Par exemple, un organisme peut être sanctionné pour filmer en continu ses salariés à leurs postes de travail. Le nombre, l’emplacement ou encore l’orientation des caméras sont des éléments pris en compte par la CNIL dans son appréciation.

 

Il est invoqué lorsque les personnes ne sont pas informées sur l’usage qui est fait de leurs données ou sur les modalités de leurs traitements, ou bien ces informations sont fournies d'une façon qui n’est pas concise, transparente, compréhensible et aisément accessible. Par exemple, un organisme peut être sanctionné pour ne pas informer les personnes des durées de conservation des données.

Défaut d’information

 

Non coopération avec la CNIL

L’organisme contrôlé s’oppose à l’action de la CNIL et ne prend aucune mesure afin de faciliter sa tâche. Par exemple, le défaut de réponse aux correspondances adressées par la CNIL ou encore l’entrave aux procédures de contrôle sont des comportements sujets à sanctions par la CNIL.

 

L’organisme contrôlé n’a pas, compte tenu de sa situation et de ses traitements, mis en œuvre des moyens techniques et organisationnels permettant de garantir un niveau de sécurité suffisant. Par exemple, ne pas mettre en place un système d’authentification permettant de contrôler les accès aux données, ou bien ne pas protéger l’accès aux armoires et tiroirs contenant des dossiers papiers, peut être en fonction de la taille et de l’activité de l’organisme une pratique dite « sanctionnable. »

Sécurité insuffisante

 

Non-respect des durées de conservation

L’organisme contrôlé n’a pas respecté le principe de limitation de la conservation des données personnelles. Par exemple, un organisme peut être sanctionné lorsqu’il ne respecte pas une durée qu’il a lui-même défini, ou en conservant sans aucune limitation de durée les données qu’il est amené à traiter.

 

L’organisme contrôlé n’a pas respecté le principe de licéité, c’est-à-dire qu’il traite des données personnelles sans aucune justification prévue par la loi. Par exemple, un organisme peut être sanctionné lorsqu’il envoie de la publicité commerciale par mail à des prospects sans leur consentement.

Défaut de base légale

 

Non-respect des droits des personnes

 

L’organisme contrôlé ne permet pas aux personnes concernées d’exercer leurs droits. Par exemple, un organisme peut être sanctionné lorsqu’il ne donne aucune suite aux demandes d’accès ou de suppression des données formulées par ses clients ou utilisateurs.

 

L’organisme contrôlé n’a pas respecté le principe de licéité, c’est-à-dire qu’il traite des données personnelles sans aucune justification prévue par la loi. Par exemple, un organisme peut être sanctionné lorsqu’il envoie de la publicité commerciale par mail à des prospects sans leur consentement.

L’organisme contrôlé ne permet pas aux personnes concernées d’exercer leurs droits. Par exemple, un organisme peut être sanctionné lorsqu’il ne donne aucune suite aux demandes d’accès ou de suppression des données formulées par ses clients ou utilisateurs.

 

FOCUS : TOP 4 DES EVOLUTIONS DES MOTIFS DE SANCTIONS 

La CNIL est en mesure de sanctionner un organisme pour un ou plusieurs manquements constatés lors d’un contrôle. Chaque sanction pécuniaire comporte donc plusieurs motifs de sanction.

Depuis 2013, on constate 4 variations importantes concernant les motifs de sanction prononcés.

Sécurité insuffisante

19%
Entre 2013 et 2015

39%
Entre 2016 et 2019

Cette augmentation s’explique par l’augmentation du nombre de sites web contrôlés et sanctionnés par la CNIL, un ou plusieurs défauts de sécurité étant systématiquement constatés.

Défaut d’information

31%
Entre 2013 et 2015

12%
Entre 2016 et 2019

Cette baisse peut s’expliquer par la baisse du nombre de sanctions pécuniaires concernant les systèmes de vidéosurveillance. Le défaut d’information est un manquement souvent prononcé pour ces traitements.

Non coopération avec la CNIL

16%
Entre 2013 et 2015

7%
Entre 2016 et 2019

Cette baisse peut s’expliquer par le gain de légitimité dont la CNIL a pu bénéficier au fil des années, en se positionnant petit à petit en tant que « gendarme de la donnée ». Ce phénomène s’est s’amplifié à l’annonce de l’adoption du RGPD et de de nouvelles sanctions pécuniaires.

Défaut de proportionnalité

16%
Entre 2013 et 2015

10%
Entre 2016 et 2019

Cette baisse peut s’expliquer par la baisse du nombre de sanctions pécuniaires concernant les systèmes de vidéosurveillance. Après 2016, ce manquement n’est quasiment jamais rencontré en dehors des problématiques de vidéosurveillance

 

05 – Les sites web dans le viseur de la CNIL ?

Les données traitées sur les sites web et applications constituent les traitements les plus sanctionnés par la CNIL. Véritable aspirateur à données, ils sont amenés à manipuler un volume énorme de données : des identifiants à des numéros de cartes bancaires, en passant par des photos ou des localisations. De ces données collectées en sont déduites de nouvelles : relations, passions, comportements, situation économique, santé… La CNIL a donc contrôlé et sanctionné de nombreux organismes éditant et/ou développant des sites web et/ou applications mobiles.

 

Sécurité insuffisante

 

Par exemple, une sécurité insuffisante s’illustre par une authentification par mot de passe trop souple, l’absence de règles d’authentification à un compte, l’accès sans aucun contrôle via une adresse URL à un compte client, l’absence de chiffrement des données, l’indexation des données dans un moteur de recherche… Toutes ces failles de sécurité permettent à des personnes malveillantes d’extraire et de rassembler des données personnelles censées être protégées. Lorsque cela arrive, on appelle ça une violation de données. Ainsi, 6 sanctions pécuniaires sur 10 prononcées par la CNIL à l’encontre des sites web et applications avaient pour origine une violation de données.

 

Par exemple, certains organismes refusent ou rencontrent des difficultés à mettre en place un système de purge automatique des données concernant des comptes inactifs, ce qui amène à un dépassement des durées de conservation. Aussi, d’autres organismes fixent des durées de conservation différentes que celles prescrites au sein des normes simplifiées de la CNIL, servant aujourd’hui de référentiels.

Non-respect des durées de conservation

 

Défaut de base légale

Par exemple, certains organismes n’informent pas les internautes du caractère commercial de certaines lettres d’information, tandis que d’autres ne mettent pas en place sur le formulaire d’inscription du site une case à cocher dédiée à l’expression du consentement à la collecte et au traitement des données sensibles. Dans ces deux situations, le consentement n’est pas éclairé, car la personne concernée n’est pas correctement informée lorsqu’elle a le choix de consentir ou non.

 


FOCUS : EVOLUTION DES MONTANTS AVANT ET APRES 2018

 

10 sanctions
+ grande : 50 000€
- grande : 3 000€

7 sanctions
+ grande : 400 000€
- grande : 30 000€

2 sanctions
+ grande : 400 000€
- grande : 180 000€

 

L’année 2018 est une année qui a connu deux périodes différents : l’avant et l’après RGPD. Néanmoins, les décisions rendues par la CNIL pendant cette année avaient pour fondement la directive européenne de 1995, et non le RGPD. La CNIL a pour autant fait preuve d’une sévérité accrue, au regard des statistiques. Ainsi, on constate une augmentation de plus de 650% par rapport à la moyenne des années cumulées avant 2018.

L’année 2019 est l’année des premières sanctions CNIL prises sur le fondement du RGPD, la première étant en janvier 2019, soit 7 mois après l’entrée en application du règlement en mai 2018. Si on constate une baisse du nombre de sanctions à l’égard des sites web et application, leur montant continue à augmenter.

 

06 – La vidéosurveillance « surveillée » par la CNIL ?

Dans les transports en commun, les magasins, les immeubles d'habitation, les bureaux, la rue… il est aujourd’hui difficile d'échapper aux caméras installées en France. Et la CNIL est justement restée vigilante sur les pratiques en la matière.

 

Sur l’ensemble des sanctions pécuniaires prononcées à l’égard des systèmes de vidéosurveillance entre 2013 et 2019, la CNIL n’a utilisé que 4 motifs de sanction différents : le défaut d’information, le défaut de proportionnalité, la non-coopération avec la CNIL et la sécurité insuffisante. La répartition de ces motifs de sanction est plutôt équilibrée, ce qui révèle que les organismes sont confrontés aux mêmes difficultés concernant la mise en place d’un système de vidéosurveillance

Défaut d’information

 

De nombreux organismes sont conscients de l’obligation d’informer leurs salariés et clients de l’existence d’un système de vidéosurveillance, mais ne s’y soumettent pas correctement. Ainsi, afficher à certains endroits un panneau portant la mention "local placé sous vidéosurveillance" ne suffit pas. La base légale, la finalité, les modalités d’exercice des droits, les coordonnées de contact, la durée de conservation… Toutes ces informations doivent figurer sur l’affiche ou la pancarte, présente à l’entrée ou de manière visible dans la zone surveillée.

Sécurité insuffisante

Les principales mesures à prendre se situent au niveau de l’accès aux images enregistrées. La plupart des organismes contrôlés prenaient peu de précaution à cet égard, le logiciel permettant de visualiser les images filmées par le dispositif de vidéosurveillance étant accessible sans identifiant ni mot de passe. Ce dernier doit notamment respecter les recommandations de la CNIL en termes de complexité, et être changé régulièrement. Les personnes habilitées à y accéder doivent être limitées à certaines fonctions (direction et/ou sécurité par exemple).

 

Un nombre trop élevé de caméras ou des orientations trop intrusives suffisent à caractériser un défaut de proportionnalité. Le nombre, l’emplacement, l’orientation, les périodes de fonctionnement des caméras ou la nature des tâches accomplies par les personnes concernées lorsqu’elles sont salariées, sont autant d’éléments à prendre en compte lors de l’installation du système. Par ailleurs, le placement sous surveillance permanente d’un salarié ne peut être possible qu’en fonction de la nature de la tâche qu’il accomplit : la manipulation d’objets de grande valeur, la manipulation de sommes d’argent (la caméra doit davantage filmer la caisse que le caissier), zones sujettes à des vols ou des dégradations…

Défaut de proportionnalité

 

Non coopération avec la CNIL

La conformité à la Loi Informatique et libertés des systèmes de vidéosurveillance a été ignorée par de nombreux organismes, jusqu’à refuser de se soumettre aux règles de contrôle de la CNIL. Plus de la moitié des sanctions concernant la vidéosurveillance est concernée. Depuis juin 2017, aucune sanction pécuniaire n’a été prononcée sur ce motif, ce qui laisse imaginer que les organismes ont été suffisamment sensibilisés sur le traitement de données que représente un système de vidéosurveillance, sur sa sensibilité au regard des droits et libertés des personnes, et aussi sur le rôle de la CNIL, désormais légitime à juger de la conformité d’un tel système.

 


FOCUS : EVOLUTION DES MONTANTS AVANT ET APRES 2018

 

7 sanctions
+ grande : 10 000€
- grande : 1 000€

1 sanction
+ grande : /
- grande : /

 

L’année 2019 est l’année des premières sanctions prises sur le fondement du RGPD, la première étant en janvier 2019, soit 7 mois après l’entrée en application du RGPD en mai 2018. Pour la vidéosurveillance, une seule sanction a été prononcée par la CNIL mais son montant dépasse à lui seul le seuil annuel atteint jusqu’à maintenant. L’organisme visé a été sanctionné suite à différents dépôts de plaintes de salariés. Sur la vidéosurveillance, on assiste à une véritablement inflation des sanctions.

Source : cnil.fr/opendata

Benjamin BARATTA, consultant GPDR Rating

 

CNIL rgpd amendes

Réagissez à cet article

Commentaires (0)

À lire également

January 10, 2020

Conseils juridique et social

0

RGPD : entreprises, qu’est-ce qui vous attend en 2020 ?

Cette nouvelle année signe pour les entreprises et les organisations la fin de la période transitoire accordée par la CNIL pour qu’elles se mettent en conformité. En 2020, l’autorité de régulation pour...

November 7, 2019

Conseils juridique et social

0

Purge des données : le nouveau cauchemar des DSI

Le RGPD, entré en vigueur en mai 2018, modifie en profondeur les exigences liées à la collecte, l’exploitation et le stockage des données personnelles. En effet, L’article 6.5 du règlement dispose que pour fa...

July 11, 2019

Conseils juridique et social

0

Nicolas Sarkozy : Un cérébral qui n’existe que dans l’action

Nicolas Sarkozy. Né le 28 janvier 1955. 22 heures. Paris VERSEAU ASCENDANT VIERGE Verseau ascendant Vierge. Drôle d’alliance entre ces deux signes qui sonnent en /v / et en / r /. « Vrrr », « Vrrr », on enten...

Dernières questions

April 30, 2020

Gestion des formalités administratives et outils

0

masques FFP2

où puis je trouver des masques FFP2

March 4, 2020

Création d'entreprise

0

Sticking to a single domain name

There have been instances where content creators changed their domains name which resulted in a decrease within their ranking on search engines. In efforts to increase search engine ranking what most content creators do is continuously change their domain...

Vous avez un nouveau message