RGPD : les entreprises sanctionnées par la CNIL en 2023

La CNIL demande aux entreprises d’être en conformité avec toutes les obligations présentes dans les RGPD.

Sécurisation des données, encadrement des traitements réalisés par des sous-traitants, minimisation des collectes, respect du droit de retrait du consentement ou encore manque de coopération… Autant de règles existantes dans le but de protéger les consommateurs.

Cependant, encore aujourd’hui, de nombreuses sociétés ne sont pas en conformité avec ces dites réglementations. Ces dernières dont donc sujettes à de lourdes sanctions.

Cela a été le cas notamment pour une dizaine de sociétés sanctionnées par la CNIL, en 2023.

Alors votre entreprise respecte-t-elle bien les RGPD ? Si ce n’est pas le cas, voilà quelques exemples de risques que vous encourez.

Le 16 mars 2023 – 125 000€ d’amende pour une société de location de scooters électriques en libre-service

L’une des premières entreprises sanctionnées par la CNIL est une société de location de scooters électriques en libre-service. Cette dernière a été sanctionnée par la CNIL pour de multiples infractions. À savoir : non-respect du principe de minimisation des données, information des personnes et encadrement des relations entre le responsable de traitement et le sous-traitant. 

On vous explique :

• Obligation de veiller à la minimisation des données (article 5, paragraphe 1, c du RGPD)

Selon les éléments énoncés dans le rapport de la CNIL, la société collectait des données de position très régulièrement. Que ce soit pendant la durée de la location (toutes les 30 secondes) ou après chaque location en attendant une nouvelle utilisation (toutes les 15 minutes). La société le justifiait pour traiter les infractions au code de la route, les réclamations des clients, le support aux utilisateurs ou les sinistres et les vols.

Cependant, la rapporteure a considéré que les finalités avancées par la société ne justifiaient pas une collecte quasi permanente des données de localisation lors de la location d’un scooter.

En effet, à partir du moment où un véhicule est en cours de localisation, les données de position du véhicule sont associées à une personne. ce dernières constituent donc un caractère personnel. 

rgpd-les-entreprises-sanctionnees-par-la-cnil-en-2023-sdi-donnees-informatiques
rgpd-les-entreprises-sanctionnees-par-la-cnil-en-2023-article-de-blog-sdi-donnees-informatiques

• Obligation d’établir un contrat pour les traitements effectués par un sous-traitant (article 28, paragraphe 3 du RGPD)

Dans son rapport, la CNIL indique que la société faisait appel à quinze sous-traitants. Cependant, sur ces quinze sous-traitant, la rapporteure considère que les contrats réalisés avec 3 sociétés ne contiennent pas toutes les informations obligatoires prévues dans les RGPD, à savoir :

  • Mettre à disposition du responsable de traitement toutes les informations pour démontrer le respect des obligations prévues,
  • Permettre la réalisation d’audits et y contribuer,
  • Prévoir une procédure de suppression ou de renvoi des données personnelles du sous-traitant au responsable de traitement à échéance de contrat,
  • Prévoir l’objet du traitement et sa durée
  • Viser la catégorie de personnes concernées par le traitement

• Obligation de définir et de respecter une durée de conservation des données à caractère personnel (article 5, paragraphe 1, e du RGPD)

Il est indiqué que la société conserve, sans limite de durée, les informations de position des scooters dans une base de données appelée scooters. Cependant, cette dernière précise que ces données sont anonymisées au bout de 24 mois.

De ce fait, la rapporteure a jugé que la conservation de ces données de façon illimitée ou durant 24 mois en base active excédait la durée nécessaire compte tenu de la finalité du traitement de ces données. 

rgpd-les-entreprises-sanctionnees-par-la-cnil-en-2023-article-de-blog-sdi-duree-conservation-donnees-informatiques

• Obligation d’informer l’utilisateur et d’obtenir son consentement avant de l’inscrire et de lire des informations sur son équipement terminal de communication électronique (article 82, loi du 6 janvier 1978)

La CNIL s’est aperçue que les utilisateurs n’étaient pas informés de l’utilisation du reCaptcha lors de la création de compte sur l’application mobile et lors de la connexion ou la procédure de mot de passe oublié sur le site Internet. 

Découvrez le rapport en intégralité

Entreprises sanctionnées par la CNIL // le 17 avril 2023 – 5 200 000€ de liquidation de l’astreinte pour une société développant un logiciel de reconnaissance faciale

Deux mois après, c’est au tour de ce logiciel de reconnaissance faciale d’être sanctionnée par la CNIL.

Cette dernière a prononcé plusieurs mesures correctrices à l’encontre de la société :

  • « […] une amende administrative d’un montant de 20 000 000€.
  • […] une injonction de ne pas procéder sans base légale à la collecte et au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire français. […]
  • […] assortir l’injonction d’une astreinte de cent mille euros par jour de retard à l’issue d’un délai de deux mois suivant la notification de la présente délibération. »

Entreprises sanctionnées par la CNIL // le 11 mai 2023 – 380 000€ d’amende pour une société d’édition de site internet proposant des articles, tests, quiz…

Ici, la CNIL a mis le doigt sur cinq manquements concernant les RGPD. 

• Procédure de coopération européenne (article 60, paragraphe 3 du RGPD)

Transmission du projet de décision adopté par la formation restreinte.

sdi-donnees-informatiques

• Obligation de conserver les données à caractère personnel pour une durée nécessaire au regard de la finalité (article 5, paragraphe 1, e du RGPD)

Selon cette mesure, inscrite dans le Règlement Général de la Protection des Données, les données personnelles doivent être « conservées sous une forme permettant l’identification des personne concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Or, ici, les manquements sont liés aux questionnaires et tests proposés par la société. En effet, la CNIL a sanctionné la conservation de certaines données (réponses aux questionnaires et adresses IP) sur une durée de 24 mois, alors que cela n’a aucun intérêt.

La CNIL a également estimé que cette société ne procédait pas correctement à l’anonymisation des données, que ce soit par rapport au hachage par un sous-traitant ou encore des comptes après trois ans d’inactivité.

• Obligation de recueillir le consentement des personnes concernées au traitement des catégories particulières de données à caractère personnel (article 9 du RGPD)

Dans son rapport, il est indiqué que l’entreprise ne recueillait pas le consentement des utilisateurs au traitement de leurs réponses. Cette dernière laissait seulement un lien qui renvoyait vers sa politique de protection des données personnelles. 

rgpd-article-de-blog-sdi-duree-conservation-donnees-informatiques
rgpd-article-sdi-duree-conservation-donnees-informatiques

• Obligation d’encadrer les traitements effectués conjointement avec un autre responsable de traitement par un acte juridique formalisé (article 26 du RGPD)

La rapporteure a indiqué qu’aucun contrat noué avec les deux sous-traitants ne contient pas de disposition relative à la définition des obligations respectives des parties.

• Obligation d’assurer la sécurité des données à caractère personnel (article 32 du RGPD)

Il est indiqué que certaines pages relatives aux tests mis en place sur le site web utilisaient par défaut le protocole « HTTP ». Or, ce protocole de communication est présent sur les pages de tests à partir desquelles des données à caractère personnel ont été renseignées par les utilisateurs.

 

En plus de ça, les modalités de stockage des mots de passe étaient insuffisantes pour assurer la sécurité des données auxquelles ils permettent d’accéder (espace client stockant le nom, le prénom, la date de naissance, l’adresse électronique ou encore le sexe de la personne).

rgpd-les-entreprises-sanctionnees-par-la-cnil-en-2023-article-sdi-duree-conservation-donnees-informatiques

• Obligation d’obtenir le consentement des utilisateurs concernant le dépôt des cookies (article 82 de la loi Informatique et Libertés)

Un des derniers manquements concernait le non-recueillement préalable du consentement de l’utilisateur sur le site de l’entreprise, alors que celle-ci déposait un cookie publicitaire.

Découvrez le rapport en intégralité

Votre société est-elle en conformité avec les RGPD ?

Pour être sûr que votre entreprise soit bien en conformité et déléguer cette partie très contraignante, vous pouvez faire appel à un DPO externalisé. 

Nous respectons le RGPD et mettons au centre de nos préoccupations le « Privacy by Design », pour les solutions que nous proposons à nos clients.

En plus de ça, SDI a été engagé comme Délégué à la Protection des Données (DPO) externalisé pour plusieurs sociétés et syndicats.

En tant que prestataire informatique, notre équipe est soucieuse et informée en ce qui concerne la démarche « sécurité » des données.

Si vous avez besoin d’un audit ou de réponses à vos questions, contactez notre équipe.

Comme nous avons pu le voir tout au long de cet article, aucune société n’est épargnée par les contrôles de la CNIL. Le Règlement Général sur la Protection des Données comporte de nombreuses obligations auxquelles les entreprises doivent se référer.

Pour retrouver la liste de toutes les entreprises sanctionnées par la CNIL en 2023 et les années précédentes, je vous invite à cliquer sur ce lien.

Partager la publication "RGPD : les entreprises sanctionnées par la CNIL en 2023"