Révélations sur la procédure simplifiée de la CNIL : un aperçu détaillé

Révélations sur la procédure simplifiée de la CNIL : un aperçu détaillé
Article RGPD

Le 12 mars 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé quinze nouvelles sanctions, prononcées dans le cadre de sa procédure simplifiée. Ces sanctions portent sur divers manquements en matière de protection des données personnelles, couvrant des domaines allant de la prospection politique à la sécurité des données.

Un aperçu des principales infractions

Depuis janvier 2024, la CNIL a pris des décisions de sanctions totalisant un montant de 98 500 euros, comparé aux 24 décisions prononcées sur l’ensemble de l’année 2023. On en est à plus de la moitié en deux mois ! Les principaux manquements identifiés sont les suivants :

  1. Un manquement relatif aux missions et ressources du délégué à la protection des données (DPO) : Un organisme a été sanctionné pour avoir omis d’associer son DPO aux réunions concernant la protection des données et la sécurité des systèmes d’information. Le DPO a pour mission d’informer et de conseiller le responsable de traitement sur ses obligations légales et d’en contrôler le respect, conformément à l’article 39 du RGPD (Règlement Général sur la Protection des Données).
  2. Un défaut de coopération avec la CNIL : Certains organismes ont fait l’objet de sanctions pour avoir manqué de coopération avec la CNIL lors d’enquêtes ou de demandes d’informations. La coopération avec l’autorité de contrôle est une obligation essentielle en vertu du RGPD.
  3. Un défaut de sécurité des données : Plusieurs organismes ont été sanctionnés pour des défauts de sécurité des données sur leurs sites web, notamment en utilisant des versions obsolètes du protocole TLS et des fonctions de hachage non sécurisées. Ces pratiques sont contraires aux exigences de sécurité énoncées dans le RGPD.
  4. Un non-respect des droits des personnes : Certains organismes ont été sanctionnés pour avoir violé les droits des individus, tels que le droit d’effacement, le droit d’opposition et le droit d’accès à un dossier médical, comme prévu par le RGPD.
  5. Un manquement à l’information en matière de prospection politique : Une association politique a été sanctionnée pour avoir omis d’informer de manière transparente les personnes concernées lors de campagnes de prospection électorale, en violation des articles 12, 13 et 14 du RGPD.
  6. Un manquement aux obligations du sous-traitant : Certaines sanctions ont été prononcées à l’encontre d’organismes agissant en tant que sous-traitants pour avoir enfreint leurs obligations contractuelles ou légales en matière de protection des données.

Fonctionnement de la procédure simplifiée

Contrairement à la procédure ordinaire, la procédure simplifiée permet à la CNIL d’intervenir de manière plus rapide et légère. Dans cette procédure, le président de la formation restreinte ou un membre désigné statue seul, sauf si l’organisme demande à être entendu.

Les sanctions prononcées peuvent inclure une amende maximale de 20 000 €, une injonction avec astreinte plafonnée à 100 € par jour de retard, ou un rappel à l’ordre. Les noms des organismes concernés ne sont pas rendus publics. Cette approche permet à la CNIL d’agir rapidement pour des dossiers ne présentant pas de difficulté particulière.

Les secteurs sanctionnés par la CNIL

  • Marketing et prospection commerciale
  • Secteur public
  • E-commerce et sites web
  • Ressources humaines
  • Secteur de la santé

Restez informés

Ces nouvelles sanctions soulignent l’importance pour les organismes de respecter les obligations légales en matière de protection des données personnelles. La procédure simplifiée permet à la CNIL d’agir rapidement pour corriger les manquements, dans l’intérêt de la protection des droits des individus et de la sécurité des données. Il est donc essentiel pour les entreprises de se conformer aux exigences du RGPD afin d’éviter de telles sanctions à l’avenir.

Du côté des observateurs, comme nous, nous attendons avec impatience la mise à jour de la page “Sanctions” de la CNIL. La tendance commence à se confirmer : la CNIL a réalisé de petites sanctions et a multiplié les contrôles. En attendant d’autres nouvelles, nous vous encourageons à consulter les diverses recommandations de la CNIL en matière de sécurité des données et de RGPD. Nous restons également à votre disposition pour toute formation ou assistance sur ces sujets.

Partager l'article

Articles similaires

Transfert de données personnelles : la Commission Européenne condamnée par le Tribunal
Article RGPD Minute RGPD

Transfert de données personnelles : la Commission Européenne condamnée par le Tribunal

Lire la suite
L’État et les communes épinglés pour l’utilisation de BriefCam : la CNIL sévit
Article RGPD Minute RGPD

L’État et les communes épinglés pour l’utilisation de BriefCam : la CNIL sévit

Le 5 décembre 2024, la CNIL a prononcé plusieurs mises en demeure contre le ministère de l'Intérieur et huit autres communes françaises. En cause : l'utilisation non conforme de logiciels d’analyse vidéo comme BriefCam, qui soulève des questions cruciales sur la protection des libertés individuelles.
Lire la suite