Révélations sur la procédure simplifiée de la CNIL : un aperçu détaillé
Le 12 mars 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé quinze nouvelles sanctions, prononcées dans le cadre de sa procédure simplifiée. Ces sanctions portent sur divers manquements en matière de protection des données personnelles, couvrant des domaines allant de la prospection politique à la sécurité des données.
Un aperçu des principales infractions
Depuis janvier 2024, la CNIL a pris des décisions de sanctions totalisant un montant de 98 500 euros, comparé aux 24 décisions prononcées sur l’ensemble de l’année 2023. On en est à plus de la moitié en deux mois ! Les principaux manquements identifiés sont les suivants :
- Un manquement relatif aux missions et ressources du délégué à la protection des données (DPO) : Un organisme a été sanctionné pour avoir omis d’associer son DPO aux réunions concernant la protection des données et la sécurité des systèmes d’information. Le DPO a pour mission d’informer et de conseiller le responsable de traitement sur ses obligations légales et d’en contrôler le respect, conformément à l’article 39 du RGPD (Règlement Général sur la Protection des Données).
- Un défaut de coopération avec la CNIL : Certains organismes ont fait l’objet de sanctions pour avoir manqué de coopération avec la CNIL lors d’enquêtes ou de demandes d’informations. La coopération avec l’autorité de contrôle est une obligation essentielle en vertu du RGPD.
- Un défaut de sécurité des données : Plusieurs organismes ont été sanctionnés pour des défauts de sécurité des données sur leurs sites web, notamment en utilisant des versions obsolètes du protocole TLS et des fonctions de hachage non sécurisées. Ces pratiques sont contraires aux exigences de sécurité énoncées dans le RGPD.
- Un non-respect des droits des personnes : Certains organismes ont été sanctionnés pour avoir violé les droits des individus, tels que le droit d’effacement, le droit d’opposition et le droit d’accès à un dossier médical, comme prévu par le RGPD.
- Un manquement à l’information en matière de prospection politique : Une association politique a été sanctionnée pour avoir omis d’informer de manière transparente les personnes concernées lors de campagnes de prospection électorale, en violation des articles 12, 13 et 14 du RGPD.
- Un manquement aux obligations du sous-traitant : Certaines sanctions ont été prononcées à l’encontre d’organismes agissant en tant que sous-traitants pour avoir enfreint leurs obligations contractuelles ou légales en matière de protection des données.
Fonctionnement de la procédure simplifiée
Contrairement à la procédure ordinaire, la procédure simplifiée permet à la CNIL d’intervenir de manière plus rapide et légère. Dans cette procédure, le président de la formation restreinte ou un membre désigné statue seul, sauf si l’organisme demande à être entendu.
Les sanctions prononcées peuvent inclure une amende maximale de 20 000 €, une injonction avec astreinte plafonnée à 100 € par jour de retard, ou un rappel à l’ordre. Les noms des organismes concernés ne sont pas rendus publics. Cette approche permet à la CNIL d’agir rapidement pour des dossiers ne présentant pas de difficulté particulière.
Les secteurs sanctionnés par la CNIL
- Marketing et prospection commerciale
- Secteur public
- E-commerce et sites web
- Ressources humaines
- Secteur de la santé
Restez informés
Ces nouvelles sanctions soulignent l’importance pour les organismes de respecter les obligations légales en matière de protection des données personnelles. La procédure simplifiée permet à la CNIL d’agir rapidement pour corriger les manquements, dans l’intérêt de la protection des droits des individus et de la sécurité des données. Il est donc essentiel pour les entreprises de se conformer aux exigences du RGPD afin d’éviter de telles sanctions à l’avenir.
Du côté des observateurs, comme nous, nous attendons avec impatience la mise à jour de la page “Sanctions” de la CNIL. La tendance commence à se confirmer : la CNIL a réalisé de petites sanctions et a multiplié les contrôles. En attendant d’autres nouvelles, nous vous encourageons à consulter les diverses recommandations de la CNIL en matière de sécurité des données et de RGPD. Nous restons également à votre disposition pour toute formation ou assistance sur ces sujets.