5 juin 2024

Nouvelles sanctions de la CNIL : Diversité des manquements

Depuis mars 2024, la CNIL a pris neuf décisions de sanctions, dont deux liquidations d’astreinte, pour un montant total de 83 000 euros. Ces sanctions, prononcées dans le cadre de sa procédure simplifiée, confirment la diversité des manquements observés.

Principaux manquements relevés :

  1. Traitements illicites :

    • Diffusion d’une vidéo promotionnelle contenant des données sensibles, comme les noms, prénoms, et informations médicales des patients, sans leur consentement explicite.
    • Publication des noms et prénoms de personnes radiées d’une association sur un site web.

  2. Minimisation des données :

    • Enregistrement systématique et intégral des conversations téléphoniques dans un centre d’appel, jugé excessif et non nécessaire.

  3. Utilisation des cookies :

    • Absence de moyens permettant aux utilisateurs de refuser les cookies aussi facilement que de les accepter. Les utilisateurs devaient naviguer dans les paramètres pour désactiver les cookies, contrairement à un bouton unique pour les accepter.

  4. Sécurité des données :

    • Utilisation de mots de passe insuffisamment robustes, stockage des mots de passe en clair, et absence de politique d’habilitation.

  5. Non-respect des droits des personnes :

    • Défaut de réponse à une demande d’exercice du droit d’accès à un dossier médical.

  6. Défaut de coopération avec la CNIL.

Exemples concrets de nouvelles sanctions du CNIL :

Manquement au principe de minimisation

Dans un centre d’appel gérant le secrétariat pour des professionnels, l’enregistrement systématique de toutes les conversations entrantes et sortantes a été sanctionné. La CNIL a jugé que des enregistrements ponctuels et aléatoires seraient suffisants pour la formation des employés, rendant l’enregistrement systématique excessif et non nécessaire.

Manquement relatif à un traitement illicite

Une société spécialisée en programmation informatique et intelligence artificielle a diffusé une vidéo promotionnelle contenant des données de dossiers patients sans consentement, contrevenant ainsi à l’article 9 du RGPD et l’article L. 1110-4 du code de la santé publique. La CNIL a infligé une amende pour cette infraction.

Manquement relatif aux cookies

Lors d’un contrôle en ligne, il a été constaté qu’un site web permettait d’accepter les cookies d’un simple clic, mais nécessitait plusieurs étapes pour les refuser. Cette pratique, non conforme à l’article 82 de la loi Informatique et Libertés, a également conduit à une sanction.

En conclusion

Ces nouvelles sanctions soulignent l’importance de la conformité aux exigences du RGPD et des réglementations françaises en matière de protection des données. La CNIL continue de surveiller activement et de sanctionner les entreprises qui ne respectent pas ces règles.

Pour plus d’informations sur les procédures de sanction et la conformité aux normes de la CNIL, cliquez ici.

#RGPD #CNIL #ProtectionDesDonnées #SécuritéInformatique #Conformité #DataPrivacy #Sanctions