Je vois, je vois… une nouvelle sanction sur le site de la CNIL !

Je vois, je vois… une nouvelle sanction sur le site de la CNIL !
Actualité Article RGPD

Ce n’est pas la dernière sanction en date, mais c’est une qui a retenu notre attention. Pourquoi ? Des manquements hors normes ? Une violation de données horrible ? Non.

C’est l’entité sanctionnée qui nous a surpris ! Un organisme de voyance en ligne : le premier pour la CNIL ! On ne peut pas s’empêcher de penser qu’ils ne l’avaient pas vu venir celle-là.

Côté manquements principaux, peu de nouveautés. Il s’agit pour la majorité de manquements que la CNIL sanctionne régulièrement.

Un manquement relatif aux cookies

Le manquement concernait ici le défaut de consentement nécessaire pour le dépôt de certains cookies, doublé d’une absence de bandeau d’information relatif à ces derniers. Le défaut a été corrigé au cours de la procédure de contrôle de la CNIL en mettant en place les éléments nécessaires.

Le défaut du respect du principe minimisation sur plusieurs fronts

La CNIL a relevé que la société enregistrait systématiquement l’intégralité de ces appels (prospects comme clients) pour des finalités liées à la qualité du service, à la collecte de preuves de souscription du contrat et dans la perspective de réquisition.

Pour rappel, la CNIL s’est déjà prononcée sur les dispositifs d’enregistrement des appels (sur le lieu de travail et également pour établir la preuve de la formation d’un contrat) ; ce qu’il en ressort est que l’enregistrement doit rester ponctuel et limité au cas où il répondrait effectivement aux nécessités précitées. Un enregistrement systématique de l’intégralité des appels est très vite disproportionné et peut générer une collecte interdite de données hautement personnelles ou de données sensibles.

Le défaut de base légale

Du côté des données hautement personnelles et données sensibles, l’organisme de voyance a fait un carton plein. La CNIL reproche à l’organisme de conserver des informations bancaires ainsi que des données sensibles sans base légale adéquate.

Pour les données bancaires qui sont conservées pour faciliter l’achat de nouvelles consultations, le consentement est nécessaire. Il en va de même pour la collecte des données sensibles, fournies lors des consultations de voyance par les clients. On vous l’avait déjà dit et la CNIL le rappelle ici, ce n’est pas parce qu’une personne vous fournit des informations à l’oral qu’elle a consenti à leur traitement.

La CNIL fournit des indications sur la manière de recueillir un consentement conforme au RGPD ici.

Le défaut du respect de principe de sécurité et un manquement à l’obligation de notification de violation de données

Les défauts de sécurité sont fréquents dans de nombreux organismes ; certains plus faciles à éviter que d’autres. Les reproches de la CNIL visaient ici la sécurité du site internet et la sécurité des données bancaires. Si l’organisme avait pris connaissance du Guide sécurité de la CNIL, les deux défauts auraient probablement pu être évités.

Les violations de données à caractère personnel sont quant à elles parfois difficiles à prédire… mais quand on les découvre, il faut agir ! Il est rare de voir le défaut de notification comme un manquement sanctionné par la CNIL mais dans cette affaire, il est bien présent.

En résumé, l’organisme a été informé d’une violation de données le concernant par un journaliste et n’a pas notifié la CNIL, considérant qu’il n’était pas capable de constater la violation et que la violation provenait d’un sous-traitant.

La CNIL rappelle ici que l’obligation de notification de violation de données repose bien sur le responsable du traitement et non pas sur le sous-traitant. Elle rappelle également que lorsque l’organisme a été informé de la violation par le journaliste, il avait les éléments nécessaires pour constater la violation.

On aimerait vous rappeler, de notre côté, que notifier la CNIL ce n’est pas comme tirer une sonnette d’alarme pour lui dire « venez me contrôler ! ». Vous ne nous croyez pas ? Le webinaire de la CNIL sur les violations est là pour démystifier le sujet !

Pour l’ensemble de ces défauts, l’organisme écope d’une sanction de 150 000€ dans le cadre du guichet unique : pour éviter de reproduire ces mêmes défauts chez vous, on vous encourage à consulter les ressources de la CNIL ! Et si vous n’y trouvez pas ce que vous voulez, contactez-nous !

Partager l'article

Articles similaires

La 18ème université des DPO organisé par l’AFCDP
Actualité Article RGPD

La 18ème université des DPO organisé par l’AFCDP

Trois de nos consultants ont participé les 8 et 9 février derniers à la 18ème Université des DPO organisée par l'AFCDP. Cet événement incontournable a rassemblé des professionnels de la conformité et de la protection des données personnelles pour deux journées de conférences et d'échanges.
Lire la suite
Rappel à l’ordre de deux ministères par la CNIL
Actualité Article RGPD

Rappel à l’ordre de deux ministères par la CNIL

La CNIL (Commission Nationale de l’Informatique et Libertés) a récemment émis un rappel à l'ordre visant deux ministères, le ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique, ainsi que le Ministère de la Transformation et de la Fonction Publiques.
Lire la suite