Contrôle et sanctions : la CNIL emploie les grands moyens
La Commission Nationale de l’Informatique et des Libertés (CNIL) est une autorité administrative indépendante qui agit comme acteur dans la régulation des données personnelles.
La CNIL est responsable de mener à bien plusieurs missions telles que l’information et la protection des droits des particuliers et professionnels, l’anticipation et l’innovation mais également le contrôle et la mise en place de sanctions pour pallier au non-respect du RGPD, la loi Informatique et Libertés et autres manquements à la législation actuelle.
En décembre, la CNIL a employé les grands moyens car différentes sanctions rendues publiques ont été prononcées dans un premier temps à l’encontre de grandes entreprises telles que Carrefour France et Carrefour Banque, à l’encontre de GAFAM, à l’encontre de professions libérales ainsi qu’à l’encontre de la TPE PERFOMECLIC.
Cookies publicitaires : Le groupe Carrefour sanctionné
De grands groupes tels que Carrefour France et Carrefour Banque ont été sanctionnés à hauteur de 2,25 millions et 800 000 euros. Après plusieurs contrôles auprès des sociétés Carrefour France et Carrefour Banque, la CNIL a relevé un certain nombre d’infractions concernant le traitement des données des clients ainsi que celles de leurs clients potentiels. En effet, les informations délivrées sur les différents sites, programmes de fidélité et autres dispositifs marketing n’étaient pas assez intelligibles et accessibles.
Des manquements liés à l’obligation d’informer les personnes (art. 13 du RGPD), de limiter la durée de conservation des données (art. 5.1.e du RGPD), de faciliter l’exercice des droits (art. 12 du RGPD) ainsi que des manquements relatifs aux cookies (art. 82 du RGPD) ont été constatés. La CNIL a également relevé un manquement au respect des droits (art. 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques) ainsi qu’un manquement à l’obligation de traiter les données de manière loyale (art. 5 du RGPD). Aucune injonction n’a été prononcée car des efforts importants ont été produits, conduisant ainsi à une mise en conformité concernant tous les manquements relevés.
La CNIL hausse le ton contre les GAFAM
Le 7 décembre, la CNIL a rendu publiques deux sanctions pécuniaires à l’encontre d’Amazon Europe Core, Google LLC et Google Ireland Limited. Dans les deux cas, les GAFAM ont été sanctionnés quant à leurs pratiques liées au profilage sur Internet via des cookies publicitaires.
Dans le cas d’Amazon Europe Core, une amende de 35 millions d’euros a été prononcée car des cookies publicitaires ont été déposés sur les ordinateurs d’internautes à partir du site amazon.fr, sans leur consentement préalable. La CNIL a également constaté un certain manque d’information. Ces deux infractions constituent ainsi deux violations à l’article 82 de la loi Informatique et Libertés.
La formation restreinte, organe de la CNIL a sanctionné les sociétés Google LLC et Google Ireland Limited d’un montant total de 100 millions d’euros d’amende, cette amende portant sur le moteur de recherche Google Search utilisé par 50 millions d’utilisateurs en France. Lorsqu’un internaute se rendait ce moteur de recherche, des cookies étaient automatiquement déposés sur son ordinateur, sans consentement préalable ou autre action de sa part. Trois violations à l’article 82 de la loi Informatique et Libertés ont été relevées : le dépôt de cookies sans consentement préalable de l’internaute, un manque considérable d’information des utilisateurs du moteur de recherche ainsi qu’une “défaillance partielle du mécanisme d’opposition” car même en désactivant la personnalisation des annonces sur la recherche Google, un cookie publicitaire demeurait rattaché au device de l’internaute.
Violations de données de santé : la CNIL sanctionne deux médecins
Une dizaine de jours plus tard, la formation restreinte a publié un article concernant les deux amendes de 3000 et 6000 euros prononcées à l’encontre de deux médecins libéraux pour violation des données de santé de leurs patients. En effet, la CNIL a relevé que des milliers d’images médicales hébergées sur des serveurs appartenant à ces deux médecins étaient en libre accès sur Internet, constituant ainsi une violation des données personnelles (ici de santé) de leurs différents patients.
Ces images n’étaient pas automatiquement chiffrées, constituant ainsi un manquement à l’obligation de sécurité des données (art. 32 du RGPD), car ces derniers auraient dû s’assurer que leur configuration soit optimale et sécurisée, ne permettant ainsi en aucun cas à rendre ces données de santé décryptées et accessibles sur Internet. L’autorité administrative a également retenu un manquement à l’obligation de notifier les violations de données à la CNIL (art. 33 du RGPD) car les deux médecins libéraux n’ont pas effectué de notifications obligatoires auprès de la CNIL et cela même après avoir su que certaines images médicales de leurs patients étaient en libre accès sur Internet.
La CNIL sanctionne une TPE pour sa prospection commerciale
PERFOMECLIC est une TPE de deux employés dont l’activité est la prospection commerciale pour le compte d’annonceurs. Cette société a été sanctionnée par la formation restreinte de la CNIL d’une amende d’un montant de 7300 euros, pour manquement à l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection (art. L. 34-5 du CPCE) et cinq manquements au RGPD car la société conserve des données dites non nécessaires à l’envoi de la prospection commerciale et pendant une durée qui excède celle normalement autorisée. La CNIL a également constaté un manquement à l’obligation d’informer correctement les personnes (art. 14 du RGPD), au droit d’opposition (art. 21 du RGPD) ainsi qu’un manquement à l’encadrement contractuel des relations avec un sous-traitant (art. 28 du RGPD).
La CNIL a également exigé une mise en conformité de l’entreprise dans un délai de deux mois, sous peine de devoir payer une astreinte de 1000 euros par jour de retard.
La CNIL prouve ainsi sa volonté de faire respecter le cadre juridique du RGPD, règlement étant entré en vigueur depuis déjà deux ans, et seulement respecté par une minorité de structures, et cela quel que soit la situation ou la taille de l’entreprise. En l’espace d’un mois, une dizaine de sanctions pécuniaires prononcées par la formation restreinte de la CNIL ont été rendues publiques et publiées sur le site web de la CNIL, d’informer, alerter sur les mauvaises pratiques et dissuader.