webleads-tracker

Les premières sanctions Post RGPD | Spark Archives

Les premières sanctions Post RGPD

Depuis l’entrée en vigueur du RGPD le 25 mai 2018, les médias se sont faits l’écho de sanctions sur le sujet des données à caractère personnel. Dans une interview fin septembre 2018 au journal Les Echos, la présidente de la CNIL expose une augmentation des plaintes, essentiellement sur l’obligation de consentement et la transparence. Quelles sont les sanctions infligées, et dans quels cas ont-elles été prises ?

Il faut bien noter que l’ensemble des sanctions administratives ont été prononcées par la CNIL, autorité de contrôle du RGPD en France.

Violation de données à caractère personnel

  • 27 septembre 2018 : une sanction de 30 000 € à l’encontre d’une association proposant des cours de français pour une faille de sécurité. Il était possible de télécharger des documents contenant des données personnelles en modifiant l’URL d’accès. Après avoir informé l’association, un contrôle dans les semaines suivantes avait permis de constater que la faille persistait.
    Même si la faille avait été résolue quelques semaines après le second contrôle, des mesures élémentaires de sécurité auraient dû être mises en place avec plus de diligence pour la résolution de la violation.
    Bien que l’association ait invoqué la responsabilité de son sous-traitant, la CNIL a souligné que le fait qu’une violation de données ait pour origine une erreur commise par un sous-traitant ne dispense pas le responsable de traitement d’assurer un suivi rigoureux des actions menées par celui-ci.
  • 2 août 2018 : une sanction de 50 000 € à l’encontre d’un site de diffusion et partage de vidéos qui s’était fait pirater un compte administrateur de base de données, permettant d’utiliser une faille dans le code de la plateforme de diffusion et ainsi laissant accès aux données à caractère personnel de plusieurs dizaines de million de comptes. Un manque cruel d’obligation de sécurité des données personnelles, bien que seuls des adresses électroniques et des mots de passe chiffrés ont été extraits.
  • 28 juin 2018 : une sanction de 75 000 € à l’encontre d’une association pour avoir laissé la possibilité d’accéder à des données (dont des documents justificatifs type bulletin de paye) des utilisateurs inscrits d’un site internet, cela simplement en modifiant l’URL d’accès. Un constat avait été réalisé à distance en ligne, l’association en avait été informée mais n’avait pas résolu le problème lors de la visite de la CNIL in situ quelques jours après la notification de violation. Les mesures élémentaires nécessaires à l’obligation de préservation de la sécurité et de la confidentialité n’avaient pas été prises.
     
  • 7 juin 2018 : une sanction de 250 000 € à l’encontre d’une chaîne de magasins d’opticiens qui avait permis en modifiant l’URL d’accéder à des centaines de factures de clients de la société, ces factures contenant des données personnelles telles que nom, prénom, adresse postale, voire N° de sécurité sociale. La restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société, la mise en place d’une telle fonctionnalité constituant une précaution d’usage essentielle. Le fait que la même société avait déjà fait l’objet d’une sanction pour faille de sécurité en 2015 a joué en sa défaveur sur le montant de l’amende.

 

Non respect de la finalité des traitements

  • 31 juillet 2018 : une sanction de 30 000 € à l’encontre d’une OPH pour avoir utilisé le fichier de ses locataires à d’autres fins que celle de gestion de l’habitat social. En effet, le fichier avait été utilisé pour communiquer aux locataires un courrier spécifique critiquant l’annonce du gouvernement de diminuer le montant des APL. Contrairement aux allégations de l’OPH qui évoquaient la simple information aux locataires sur les évolutions des APL, le contenu du courrier, et le fait qu’il soit adressé à tous les locataires, bénéficiaires ou non de l’APL, ont conduit à cette sanction. La CNIL a estimé que l’utilisation des données personnelles issues du fichier des locataires de l’OPH pour adresser ce courrier était incompatible avec la finalité initiale de la collecte de ces données, à savoir la gestion des demandes de logement social ou du parc immobilier.

 

Non respect de la loi informatique et liberté

  • 31 juillet 2018 : une sanction de 10 000 € à l’encontre d’une société de centre d’appel téléphonique pour avoir notamment mis en œuvre illégalement un système biométrique à des fins de contrôle des horaires des salariés, ceci sans autorisation préalable. De plus, un dispositif d’enregistrement des appels téléphoniques fonctionnait sans que les salariés et les interlocuteurs n’en soient informés et les postes de travail n’étaient pas suffisamment sécurisés par des mots de passe robustes ou un verrouillage automatique.

    La CNIL avait précédemment mis en demeure la société de se mettre en conformité avec la loi Informatique et Libertés, en cessant d’utiliser le dispositif biométrique de contrôle des horaires des salariés, en informant les personnes concernées s’agissant de l’enregistrement des appels et en renforçant la sécurité des postes de travail.

    Le non-respect total de cette mise en demeure, constaté par un contrôle postérieur, a entrainé la sanction.

 

Quelle conclusion en tirer ?

Tout d’abord, il faut bien se rendre compte que ces sanctions concernent des infractions constatées antérieurement au RGPD. Cependant, on peut retenir que :

Les failles de sécurité sont majoritaires, et que les moyens à mettre en œuvre ne semblent pas incommensurables,

Les sanctionnés ont tous d’abord été prévenus, et un second contrôle n’a constaté aucune résolution, ou une résolution partielle, des infractions constatées. C’est la non-réactivité qui a aussi été sanctionnée.

On voit par là qu’il est donc essentiel de bien se doter des moyens techniques pour protéger l’accès aux données à caractère personnel, et qu’en cas de contrôle, il faut engager rapidement les actions correctives pour éviter des sanctions qui arrivent à coup sûr lors du contrôle suivant.

Lionel HUSSON
Directeur Spark Archives
Responsable GT RGPD eFutura

Source : Les cas, résumés, cités ci-dessus sont issus des informations du site de la CNIL (www.cnil.fr/fr/tag/Sanctions).
Tags:  RGPD, sanctions

Nous contacter

Adresse :
La Boursidière
BP 159
92357 Le Plessis-Robinson Cedex
 
Téléphone :
+33 (0)1 46 29 25 25
Email :
e-mail icon
Twitter icon
Facebook icon
Google icon
LinkedIn icon

Spark Archives, une solution éditée par KLEE GROUP

Contact

Spark Archives
La Boursidière
92357 Le Plessis-Robinson Cedex

+33 (0)1 46 29 25 25

sparkarchives@kleegroup.com

Nous rejoindre

Découvrez nos offres de stages et nos offres d'emploi et postulez en ligne !

Nous suivre