Au cours des trois derniers mois, la CNIL a prononcé onze nouvelles sanctions dans le cadre de la procédure simplifiée.
Collecte excessive de données, absence de registre, non-respect des droits des personnes ou manque de coopération : la CNIL a prononcé onze nouvelles sanctions simplifiées depuis juin 2024. Elle rappelle les règles et mesures répressives qu’elle peut prendre en cas de non-respect. . -conformité.
Depuis juin 2024, la CNIL réalise onze nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée pour un montant cumulé d’amendes de 129 000 euros.
Les principales lacunes identifiées concernent :
- non-respect du principe de minimisation données (vidéosurveillance salariés et enregistrements des conversations téléphoniques systématiquement et intégralement) ;
- l’absence de registre de soins ;
- l’absence de moyens permettant de refuser les cookies aussi facilement que de les accepter ;
- manque de coopération avec la CNIL ;
- non-respect des droits des personnes (absence de réponse dans les délais impartis) ;
- défaut d’information des personnes (clients et employés).
Violations du principe de minimisation des données
Plusieurs sanctions prises dans le cadre de la procédure simplifiée ont identifié un manquement au principe de minimisation des données, qu’il s’agisse de la vidéosurveillance des salariés ou de l’enregistrement systématique et complet des conversations téléphoniques entre téléconseillers et prospects. ou des clients.
Comme le rappelle régulièrement la CNIL, la vidéosurveillance salariés permanents à leur poste de travailnon justifié par des circonstances exceptionnelles liées à la sécurité ou au vol, viole le principe de minimisation des données.
De même, un système d’enregistrement et d’écoute des conversations téléphoniques doit être proportionné au regard de l’objectif poursuivi et ne doit pas porter atteinte de manière excessive à la vie privée des personnes enregistrées.
Donc, le but (ou objectif) améliorer les ventes et la formation des collaborateurs ne justifie pas l’enregistrement systématique et complet des conversations téléphoniquestandis qu’un enregistrement ponctuel et aléatoire des appels émis peut être mis en œuvre.
Il en est de même si l’objectif est de recueillir des « preuves » : en dehors des cas où la loi l’exige, l’enregistrement systématique des conversations téléphoniques n’est justifié que s’il est nécessaire, sauf s’il constitue la preuve d’un contrat ou d’un acte d’exécution. un contrat conclu avec un consommateur (par exemple l’achat d’un service).
Lacunes liées à registre des activités de traitement
La CNIL a sanctionné deux sociétés de moins de 250 salariés pour défaut de registre des traitements, le traitement en question n’étant pas occasionnel.
La tenue d’un registre des traitements est requise par les dispositions de l’article 30 du RGPD. Il permet d’identifier notamment quelles données sont collectées, pour quelle raison ou encore qui y a accès. Il s’agit d’un outil de contrôle et de démonstration de la conformité des responsable du traitement des données au RGPD, qui doit être régulièrement mis à jour en fonction des évolutions fonctionnelles et techniques du traitement des données.
De plus en plus d’organisations sanctionnées
La procédure de sanction simplifiée est l’un des outils répressifs dont dispose la CNIL pour assurer le respect du RGPD et répondre aux nombreuses plaintes reçues chaque année (16 000 en 2023). Cette procédure simplifiée, inscrite dans la loi depuis 2022 à l’initiative de la CNIL, permet de prononcer des sanctions rapides pour des dossiers ne présentant pas de difficulté particulière, contrairement aux sanctions dites « ordinaires ». Les sanctions simplifiées ne sont pas publiques et le montant des amendes pouvant être infligées ne peut excéder 20 000 euros.
Depuis janvier 2024, sur 9 mois, la CNIL se prononce 28 sanctions simplifiées pour un montant total de 290 500 euros. A titre de comparaison, sur l’ensemble de l’année 2023, 24 sanctions simplifiées ont été prises pour un montant total de 229.500 euros qui sont venues s’ajouter aux 18 sanctions ordinaires (88.950.000 euros).
Au-delà des sanctions financières, les mises en demeure contribuent également au respect du RGPD : la CNIL s’est ainsi prononcée 168 mises en demeure contre des organismes publics et privés en 2023. Ce chiffre est en constante augmentation depuis plusieurs années (135 en 2021, 147 en 2022).
Par ailleurs, la CNIL coopère activement avec les autorités européennes de protection des données. Cette coopération s’est traduite par un renforcement des mesures correctives ces dernières années, comme l’illustre par exemple la sanction de 290 millions d’euros prise par l’autorité néerlandaise, en coopération avec la CNIL, à l’encontre de la société UBER le 22 juillet 2024.
Enfin, il convient de rappeler que la mise en conformité peut également être obtenue sans mises en demeure ni sanctions. Dans le cadre du traitement des réclamations, l’intervention des services de la CNIL auprès des responsables de traitement peut ainsi permettre d’obtenir la mise en conformité, par exemple lors d’un échange avec le délégué à la protection des données visant à satisfaire une demande d’exercice de droits.
Un accompagnement par des professionnels pour une meilleure conformité
Parallèlement aux mesures répressives, la CNIL accompagne les responsables de traitement dans leur mise en conformité avec le RGPD en répondant à leurs demandes de conseil (plus de 15 000 en 2023), via plusieurs dispositifs dédiés (support renforcé, « sandbox ») qu’elle précise dans son accompagnement. charte, ou par la publication régulière de nombreuses ressources thématiques et sectorielles sur son site internet.
Ces éléments rejoignent les conclusions du 2ème rapport de la Commission européenne sur l’application du RGPD, qui appelle les autorités européennes à favoriser le dialogue avec les responsables de traitement en renforçant les mesures d’accompagnement pour permettre une régulation efficace. .