Risques et sanctions

L’application obligatoire du RGPD s’impose depuis le 25 mai 2018 dans l’ensemble de l’Union Européenne. La CNIL en contrôle sa mise en place en France. Cet organisme a également le pouvoir de juger les dysfonctionnements des entreprises quant aux données personnelles traitées, en leur infligeant de fortes amendes souvent rendues publiques.

Quelques exemples de sanctions publiques

SERGIC

Immobilier – 28 mai 2019

SERGIC est spécialisée dans la promotion immobilière. Pour les besoins de son activité, elle édite le site web. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur (copies de cartes d’identité, de cartes Vitale, d’avis d’imposition)

Le contrôle sur place a permis de constater deux manquements au RGPD :

  • SERGIC n’a pas préservé la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. (absence d’authentification des utilisateurs)
  • Ce manquement est aggravé par la nature des données rendues accessibles, par une correction n’ intervenant que 6 mois plus tard.
  • D’autre part, la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats Or, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement.

Une amende de 400 000 € a été infligée par la CNIL qui a aussi décidé de rendre publique sa sanction.

Observations DVA

  • Pas de sécurité des données personnelles enregistrées sur le site web
  • Nature sensible des données personnelles recueillies
  • Pas de limitation de durée de conservation des données
  • Manque de diligence dans la réponse
  • Forte amende et publicité déplorable

UNTROAD Company

Traductions – 13 juin 2019

La société UNIONTRAD COMPANY (U.C) est une TPE française de 9 salariés spécialisée dans la traduction.

Entre 2013 et 2017, la CNIL a reçu des plaintes de plusieurs salariés de la société filmés à leur poste de travail.

Un contrôle mené dans les locaux en février 2018 a permis de constater que :

  • la caméra présente dans le bureau des traducteurs les filmait à leur poste de travail sans interruption ;
  • aucune information n’avait été délivrée aux salariés ;
  • les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique.

En juillet 2018, la CNIL a mis en demeure la société de se mettre en conformité à la loi Informatique et Libertés, en lui demandant de :

  • déplacer la caméra pour ne plus filmer les salariés de manière constante ;
  • procéder à l’information des salariés sur la présence des caméras ;
  • mettre en œuvre des mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité (historique) des accès à la messagerie professionnelle.

Le second contrôle en octobre 2018 à l’issue de la mise en demeure sans réponse satisfaisante a confirmé la persistance des manquements.

La CNIL a prononcé une amende de 20 000 € considérant que les manquements relevés persistaient, avec astreinte de 200 € par jour.

Observations DVA

  • Remarques pertinentes de la CNIL sur les caméras (filmage continu, pas d’information) et les mots de passe de la messagerie
  • Absence de réaction de la société UC à la mise en demeure
  • Sanction évidente mais proportionnelle pour une TPE.

Optical Center

Optique – 17 avril 2019

En juillet 2017, la CNIL a été informée par des clients d’une “fuite de données conséquentes” concernant la société OPTICAL CENTER.

Un contrôle en ligne a permis aux équipes de la CNIL de constater qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que, notamment, les nom, prénom, adresse postale ainsi que des données de santé ophtalmologique. OC est alerté par la CNIL. OC demandant à son prestataire de résoudre cet incident de sécurité.

Le contrôle sur place a constaté que le site ne permettait pas de vérifier qu’un client était bien connecté à son espace client avant de lui afficher ses factures. Il pouvait donc accéder aux documents d’un autre client d’OC.

La CNIL a prononcé une amende 250 000 €, estimant que la société avait manqué à son obligation de sécurité des données personnelles, malgré sa réactivité dans la résolution du problème. La CNIL a également relevé que la société ne pouvait pas ignorer les risques liés à un défaut de sécurisation de son site après une première sanction de 50 000 € en 2015.

Compte tenu de la sensibilité des donnée devenues accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données d’OC (plus de 334 000), la CNIL a rendu la sanction publique.

Le Conseil d’Etat, par son arrêt du 17 avril 2019, a réduit l’amende à 200 000 €.

Observations DVA

  • Seconde intervention, et seconde amende de la CNIL sur cet opérateur grand public
  • Manque de sécurité des données personnelles sur le site
  • Nature sensible (santé) des données personnelles recueillies
  • Grand nombre de données impactées
  • Forte amende et très mauvaise publicité
  • La procédure d’appel au Conseil d’Etat a permis de réduire l’amende.

Histoire et rôle

La Commission Nationale de l’Informatique et des Libertés (CNIL) a été créée par la loi Informatique et Libertés du 6 janvier 1978.

Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. La CNIL est donc, en France, l’institution encadrant l’application du Règlement Général sur la Protection des Données. En effet, la mise en place du RGPD est obligatoire depuis le 25 mai 2018 pour tous les organismes, administrations, entreprises et associations.

La CNIL doit s’assurer que l’informatique demeure au service du citoyen et qu’il ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

La CNIL est une autorité administrative indépendante  agissant au nom de l’état. Elle a un rôle d’alerte, de conseil et d’information vers tous les publics mais dispose également d’un pouvoir de contrôle et de sanction.

Son pouvoir de sanction :
Comment agit-elle ?

La CNIL, en tant qu’autorité de contrôle du RGPD, assure la surveillance du territoire au niveau des données personnelles, comme des gendarmes au bord d’une départementale du Périgord !

Elle travaille principalement par signalement d’un client, d’un salarié, voire d’un concurrent.

La CNIL :

  • effectue des contrôles en ligne
  • alerte la société du défaut de sécurité et de la violation de données qui en résultait
  • demande à la société d’y remédier, via une mise en demeure.

La mise en demeure permet à la société incriminée d’obtenir un délai de 10 jours à 6 mois afin de mettre en place les mesures de sécurité appropriées et se mettre en conformité.

Un contrôle sur place peut ensuite être réalisé dans les locaux de la société afin de constater les faits et les mesures prises..
Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – peut considérer que la société a manqué à son obligation de sécurisation des données personnelles prévue par l’article 32 du règlement général sur la protection des données (RGPD).

La CNIL peut prononcer une amende de plusieurs milliers d’euros tout en rendant la sanction publique.

Les sanctions sont alors motivées par :

  • la gravité du manquement
  • la nature des données et des documents en cause
  • le nombre de personnes concernées

Vous souhaitez vous faire accompagner dans la mise en œuvre du RGPD dans votre entreprise ?

CONTACTEZ DVA PLUS »