5 sanctions RGPD incontournables et Plan de contrôle de la CNIL en 2023

Pour mémo, les sanctions RGPD ne touchent pas uniquement les entreprises qui traitent de la data à grande échelle, qui ont des mots de passe trop faciles et des cookies mal paramétrés. Non. Car le RGPD concerne tous les processus des entreprises et associations qui des données personnelles (documents papiers inclus).

Quelles sont les 5 sanctions RGPD que les Entreprises et Associations ne connaissent pas ?

De nombreux organismes sont chaque année sanctionnés par la CNIL pour manquement au RGPD. Il peut s'agir de médecins, d'auto-entrepreneurs, d’associations, de TPE/PME ou encore de Groupes comme Carrefour.

7300 € pour une TPE et 1000 € d’astreinte par jour de retard

Fin 2020 une TPE, employant 2 salariés, a été sanctionnée d’une amende de 7 300€, et d’une injonction de mise en conformité dans un délai de 2 mois, sous peine d’une astreinte de 1000€ par jour de retard (quelle histoire !). Il était question de cinq manquements au RGPD, dont un défaut d’information des personnes et le manquement à l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection.

75 000 € pour une association de droit privé à but non lucratif

En juin 2018 une association (ADEF) a été sanctionnée à hauteur de 75 000 € pour avoir manqué à son devoir de protection des données de ses utilisateurs sur son site internet. Cette décision a été validée par le Conseil d’Etat dans une décision du 17 avril 2019.

500 000 € pour un dépôt de cookies à des fins publicitaires sans le consentement des utilisateurs

En 2022, la société Brico Privé a été sanctionnée par une amende de 500 000 € pour avoir permis le dépôt de cookies à des fins publicitaires sans le consentement des utilisateurs.

3000 € et 6000 € pour des médecins généralistes

Fin 2020, deux médecins libéraux ont été sanctionnés à hauteur de 3 000€ et 6 OOO€ d’amende. En 2022, l'histoire s'est répétée. Deux nouveaux médecins ont sanctionnés par la CNIL dans le cadre d'une procédure de sanctions simplifiée. Cette nouvelle procédure permet à la CNIL de prendre des décisions plus rapides et vise généralement les professions libérales ou petites et moyennes entreprises.

30 000 € pour une association loi 1901 reconnue d’utilité publique

L'Alliance Française Ile-de-France a été sanctionnée par la CNIL de 30 000 € d’amende car des milliers de documents (dont des certificats d’inscriptions, factures, etc.) étaient en clair et pouvaient être téléchargés. En bref, l’association a été sanctionnée pour mauvaise sécurisation des données personnelles. 

Sanctions RGPD : les chiffres clés (mise à jour 2022)

1. Une augmentation de 54 % des contrôles effectués par la CNIL en 2021 en comparaison de 2020. La CNIL parle de plusieurs centaines de contrôles en 2022, sans donner le chiffre exact (à suivre).
2. Une augmentation de 175 % des mises en demeure prononcées en 2021 en comparaison de 2020. Stabilisation ensuite, avec une augmentation de 8,16% des mises en demeure en 2022 en comparaison de 2021. 
3. 214 106 000 € d’amendes prononcées par la CNIL en 2021 contre 138 489 300 € en 2020. Diminution du montant global des sanctions RGPD en 2022, avec un montant global de 101 277 900 €.
4. Plus de 14 143 plaintes en 2021 ont été adressées à la CNIL contre 13 585 en 2020. Stabilisation du nombre de plaintes en 2022.
5. Augmentation en 2022 du nombre de sanctions prononcées à l'égard des "petites" entreprises, jusque-là raisonnablement épargnées par les autorités. Désormais, la CNIL disposant d'une procédure de sanction simplifiée, a aujourd'hui plus de "facilités" à rendre des décisions à l'encontre d'une petite ou moyenne entreprise. 

Plan de contrôle de la CNIL en 2023

Qu'est-ce que le plan de contrôle ? La Commission nationale de l'informatique et des libertés (CNIL) définit des lignes directrices prioritaires de contrôle des organismes (entreprises, établissements publics, associations, etc.), notamment suite à des plaintes qui ont pu être formulées par les personnes physiques (usagers, clients, salariés, fournisseurs, etc.).

Les thèmes prioritaires représenteront un tiers des contrôles de la CNIL en 2023

La CNIL définit chaque année un plan de contrôle sur des sujets qu'ils définissent comme "à forts enjeux" et sur lesquels la CNIL souhaite marquer le trait. En pratique, la CNIL définit chaque année un plan de contrôle sur des sujets qu'ils définissent comme "à forts enjeux" et sur lesquels la CNIL souhaite marquer le trait.

Attention, les thèmes prioritaires annuels n'empêchent pas les contrôles relatifs à d'autres manquements au RGPD.

Contrôle de l’utilisation de caméras augmentées en 2023

Les caméras dites « intelligente » ou « augmentée » sont des technologies mixant intelligence artificielle et vidéo-surveillance. L'IA peut ainsi analyse image par image, réaliser du profilage et des déductions à partir d'informations personnelles.

Ces mécanismes de surveillance sont notamment déployés par des collectivités territoriales, et font l’objet de nombreux questionnements sur la scène publique, médiatique, et questions à la CNIL. Il peut aussi s'agir de caméra dans les magasins permettant d'identifier combien de fois les passants s'arrêtent devant un rayon, quels chemins ils prennent dans les allées, etc.

Ces dispositifs se retrouvent aussi dans le cadre de manifestations sportives tels que la Coupe du monde de rugby en 2023 et les Jeux Olympiques de 2024. A noter que la CNIL a aussi déployé une "task force" dédiée à l'Intelligence Artificielle.

Contrôle des accès au dossier patient informatisé dans le secteur sanitaire et médico-social

Vous avez peut-être entendu parler de mon espace santé ? Il s'agit d'une application web qui permet aux citoyens français de centraliser d'une part et de partager aux professionnels de santé et applications tierces d'autre part, leurs documents, analyses médicales, rapport de médecins et informations de santé gratuitement. Ce projet de numérisation de la santé pour faciliter le quotidien des particuliers impliquent de nombreux questionnements en matière de RGPD et le rapprochement de nombreux dispositifs publics tels que le Dossier Médical Partagé, la messagerie MS Santé, l'espace Ameli et privés, avec toutes les cliniques et applications qui viendront proposées leurs services. Ce transition implique aussi tous les établissements sanitaires tels que les hopitaux et SSR, ainsi que tous les établissements médico-sociaux traitant des données de santé de manière directes ou indirectes. Des vérifications ont déjà été engagées par la CNIL en 2022 et se poursuivront en 2023. Ce choix de prioriser les contrôles a été renforcé à la suite de plaintes reçues par la CNIL qui dénoncent des accès par des tiers non autorisés à des dossier patients.

Au même titre que des médecins ont été sanctionnés pour non conformité au RGPD, les contrôles qui vont être conduits par la CNIL auront aussi pour but d'identifier les mesures de sécurités numériques et physiques (documents papiers) mises en place pour protéger les informations personnelles des personnes.

Contrôle des applications mobiles

L'éditeur d'application mobile, l'entreprise Voodoo a en déjà subi les frais avec une amende RGPD de 3 millions d'euros. Pour résumer, lorsqu’un éditeur propose une app' sur l’App Store, Apple met à sa disposition un système d’identifiant technique « IDentifier For Vendors » (ou IDFV), permettant à l'éditeur de suivre l’utilisation faite de ses applications par les utilisateurs.

L'IDFV est :

• attribué à chaque utilisateur
• identique pour toutes les applications distribuées par un même éditeur
• donc pour toutes les applications de la société Voodoo

En le combinant avec d’autres informations du smartphone, l’IDFV permet de suivre les habitudes de navigation des personnes, (notamment les catégories de jeux) afin de personnaliser les annonces vues par chaque utilisateur.

Sur une app Voodoo, lorsqu’un utilisateur exprimait son refus de faire l’objet d’un suivi publicitaire, l'entreprise :

• lisait tout de même l’IDFV
• traitait toujours des informations en lien avec ses habitudes de navigation
• sans son consentement

Ce qui constituait un manquement à l’article 82 de la loi Informatique et Libertés et par conséquent, une sanction de 3 millions d'euros. En somme, les fabricants de téléphones mettent à disposition des éditeurs des identifiants pour traquer les utilisateurs. Or, dans les règles de l'art (et du RGPD), vous et moi devrions être informés de cet usage. En pratique, ce n'est pas toujours le cas selon la CNIL. Suite à la sanction à l'encontre de Voodoo et d'autres entreprises dans le secteur, mais dont la sanction n'a pas été rendue publique, la CNIL souhaitent travailler à d'avantage de transparence et de leur conformité au RGPD des éditeurs vis à vis de leurs produits.

Contrôle de l'accès au fichier des incidents de remboursement de crédit aux particuliers (FICP)

Là, nous sommes sur une thématique complexe. En deux mots, le FICP de la Banque de France liste les incidents de paiement des personnes pour des besoins non professionnels, et informations relatives au surendettement. Avant l'octroi d'un crédit, sa consultation par les banques est obligatoire. Avec les remous actuels autour du crédit, les éventuels risques de crises financière suite à la chute de la SVB et la récente décadence de la Banque Suisse, les données présentées sur le FICP sont cruciales, à la fois pour la bonne marche de système de crédit et à la fois pour les particuliers, qui pourraient se voir refuser un crédit sur la base d'informations erronées ou auxquelles les banques ne devraient pas avoir accès. Avec l'augmentation des cyberattaques, la sécurisation de ces données est aussi un enjeu particulièrement fort. En pratique, les contrôles de la CNIL devraient porter sur les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jour après régularisation des incidents de paiement.

Retour sur le plan de contrôle de la CNIL en 2022

En 2022, trois thématiques prioritaires ont été choisies : la prospection commerciale (non respect des droits des personnes), la surveillance des travailleurs en télétravail (du fait de la numérisation de la société du travail) et l’utilisation de l’informatique en nuage (du fait de la large appropriation du cloud).

Retour sur nos prédictions sur le plan de contrôle de la CNIL en 2023 presque réalisées

Les prédictions sur le plan de contrôle 2023 ont été réalisées à la mi-février, avant publication par la CNIL le 15 mars.

Les objets connectés et la vidéosurveillance (désormais intégrés dans notre quotidien) sont des domaines dans lesquels le RGPD impose des règles strictes en matière de collecte, de traitement et de stockage de ces données. La CNIL a notamment lancé une consultation sur la vidéosurveillance dans les Ehpad. 

L'usage de l'intelligence artificielle, omniprésente sur les réseaux avec Chat GPT et Midjourney, implique des risques en matière de conformité car les IA aspirent la data (machine learning), peuvent potentiellement extraire les données collectées et prendre des décisions automatisées sur la base de données personnelles.

Les traceurs utilisés pour collecter des données sur les utilisateurs de sites web ou d'applications sont à la fois de plus en plus performants et à la fois régulièrement attaqués par les autorités. Avec les sanctions, avis et consultations récentes en la matière, il est probable que la CNIL maintiennent sa volonté répressive pour respecter les droits des personnes (consentement éclairé et explicite). 

Les données sensibles telles que les données de santé ou informations relatives aux mineurs, collectées et traitées par les établissements sanitaires et médico-sociaux pourraient être une priorité de la CNIL étant donné le nombre important de cyberattaques menées sur les hôpitaux et cas de violation de données recensées dans ces secteurs. 

Quel organisme peut recevoir une sanction RGPD ? 

Toutes les entreprises, associations, professions libérales, et entités publiques peuvent être sanctionnées par la CNIL à condition que le RGPD s’applique à leur activité, c'est à dire dans le cas où l'organisme traite des données à caractère personnel (pour son compte ou non), dès lors :

1. que l'organisme est établi sur le territoire de l’Union européenne
2. que son activité implique le traitement de données à caractère personnel de ressortissants européens

Ne pas respecter le RGPD, c’est exposer son organisme à un contrôle de la CNIL ou d’une autorité compétente et/ou à des plaintes adressées à la CNIL par ses salariés, clients, usagers ou utilisateurs. 

Quelles sanctions RGPD la CNIL peut prononcer ?

1. Jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20M d’euros pour tout manquement relatif aux droits des personnes
2. Jusqu’à 2 % du chiffre d'affaires annuel mondial ou 10M d’euros pour un manquement au principe de Privacy By Design, etc.
3. Une publication de la sanction aux frais de l’organisme
4. Un rappel à l’ordre de la CNIL
5. Des injonctions sous astreintes allant jusqu’à 100 000 euros par jour
6. Des sanctions pénales
7. Des dommages et intérêts au civil
8. Et autres mesures spécifiques

Dans le cadre d'un conflit relatif aux sanctions pécuniaires, le montant le plus élevé sera retenu. Pour les associations n'ayant pas de chiffre d'affaires, les sanctions maximales sont limitées par les montants pécuniaires (c'est à dire jusqu'à 20M d’euros). Les sanctions sont prononcées par la formation restreinte de la CNIL ou par sa Présidente. La CNIL dispose d’une panoplie de moyens pour effectuer son contrôle. La CNIL contrôle les organismes sur place, sur pièce, sur audition ou en ligne.

Votre organisme ne pourra pas se défendre en invoquant le manque de temps, la méconnaissance du sujet ou le manque de ressources internes. Depuis le 8 avril 2022, les procédures répressives de la CNIL ont été modifiées en créant des procédures de sanctions simplifiées.

La chaîne répressive de la CNIL en 3 étapes

Pour mémo, la Commission nationale de l'informatique et des libertés (CNIL) a été créée en 1978 pour veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Depuis sa fonctionnement, elle a vu ses missions et prérogatives évoluer, notamment avec l'arrivée du RGPD. Pour sanctionner les organismes qui n'ont pas mis en place leur conformité, la Commission a mis en place une chaîne répressive. 

1. Signalement ou l'auto-saisie. La majorité des sanctions démarrent avec un signalement. Ce signalement peut être réalisé via le site de la CNIL par les utilisateurs d'un site web ou application, les usagers d'un service, des salariés, des associations, des syndicats, par la presse, ou même les autorités d'un autre pays. La CNIL peut aussi s’auto-saisir (même sans signalement extérieur). 
2. Procédure : la phase de contrôle. Le contrôle peut être effectué sur place par des agents de la CNIL ou à distance. Ce contrôle peut même prendre la forme d’une audition des acteurs concernés ou bien d’une demande de questions et de fourniture de documents par les acteurs concernés. 
3. Sanctions ou Clôture. Tout dépendra du contrôle. Si la CNIL n’a aucune (ou peu d’observations) à formuler sur l’organisme contrôlé, l'autorité clôture le dossier. En cas de manquement de la part de l'organisme, plusieurs possibilités. Si le manquement est conséquent, alors la formation restreinte de la CNIL pourra directement infliger une sanction. Le cas contraire, la CNIL peut aussi décider d’effectuer une mise en demeure de l’organisme responsable du manquement et l’enjoindre à faire cesser le manquement dans un délai défini.

Comment protéger son entreprise des sanctions RGPD ?

A partir des sanctions prononcées par la CNIL, nous avons rédigé les articles suivants pour vous aider à limiter les risques et identifier le vrai coût de la conformité. Vous pouvez aussi faire appel à Blockproof directement.

• Sanctions RGPD : enseignements et exemples pour protéger votre organisme
• Amende RGPD : 6 leçons à retenir après la sanction de Carrefour par la CNIL
• Le véritable coût de la conformité
• Être accompagné par Blockproof
• Suivre nos mini-cours RGPD gratuits sur notre podcast RGPD

Les sanctions phares de la CNIL en 2022 

Le 6 janvier 2022 Google a été sanctionné à hauteur de 150M d’euros. En effet la CNIL a relevé une atteinte à la liberté du consentement dans son procédé d’acceptation des cookies. Enjoint de se mettre en conformité sous 3 mois, 100 000 € par jour ont été prononcés à titre d’astreinte (Google et certains acteurs de la tech vont encore se fâcher mais peu importe).

Le 6 janvier 2022 Facebook a été sanctionné de 60M d’euros pour avoir porté atteinte à la liberté du consentement des utilisateurs lors de l’acceptation des cookies. Dans son fonctionnement, comme pour Google, la possibilité de refuser les cookies n’était pas aussi simple que de les accepter. Le choix était ainsi biaisé, rendant le consentement vicié. Enjoint de se mettre en conformité sous 3 mois, 100 000 € par jour ont été prononcés à titre d’astreinte (les cadres et les C-level de l'entreprise ont certainement donnés de nouvelles lignes directrices suite à cette histoire).

Le 15 avril 2022 la société Dedalus Biologie a été sanctionnée par la CNIL de 1,5M d’euros pour manquement à l’obligation de sécurité et manquement au respect des obligations incombant aux sous-traitants. Ce manquement a été révélé par une fuite de données médicales de près de 500 000 personnes en février 2021.

Le 20 octobre 2022, la société Clearview AI a été sanctionnée par la CNIL à hauteur de 20M d’euros avec obligation de se mettre en conformité sous 2 mois, sous peine de 100 000 euros par jour de retard à titre d’astreinte. Dans son fonctionnement, la société a collecté et utilisé sans base légale, les données des utilisateurs sur de nombreux sites web et notamment leurs photographies. Elle se serait appropriée (selon la CNIL) pas moins de 20 milliards d’images à travers le monde. Une mine d'or pour les developpers et cadres de cette entreprise dans la tech. 

Le 10 novembre 2022 la CNIL a sanctionné Discord à une amende de 800 000 euros. Cette amende fait suite à des manquements en matière de durée de conservation des données et de sécurité des données personnelles. 

Le 19 décembre 2022, la société Microsoft a été condamnée par la CNIL à hauteur de 60M d’euros. En effet Microsoft aurait dû proposer un mécanisme à ses utilisateurs permettant de refuser les cookies aussi facilement que de les accepter. Enjoint de se mettre en conformité sous 3 mois, 60 000 euros par jour  ont été prononcés à titre d’astreinte.

Les plus grosses sanctions RGPD reçues par des entreprises en 2021 et 2022

TOP 1 : Luxembourg : Amazon a été condamné en juillet 2021 à 746 millions €. C’est la plus grosse condamnation depuis l’entrée en application du RGPD. Les raisons exactes de cette condamnation ne sont, pour le moment, pas encore publiques du fait du droit luxembourgeois. Pour rappel, Amazon avait déjà été sanctionné par la CNIL fin 2020 à hauteur de 35M €. 

TOP 2 : Irlande : Suite à une décision contraignante du CEPD (Comité européen à la protection des données), l’autorité de protection des données irlandaise a condamné en 2022 Instagram à une amende de 405 millions €. Le groupe Meta, au travers d'Instagram, traitait en effet les données personnelles de mineurs de façon illicite. L’autorité irlandaise, souvent critiquée pour sa passivité à l’égard des GAFAM, est ainsi à l’origine de la seconde plus grande sanction de ces deux dernières années. Il est important de noter que cette sanction n’a pu avoir une telle gravité que grâce à la décision contraignante du CEPD. Dès lors, l’autorité de protection des données irlandaise a été obligée de revoir sa sanction à la hausse. 

TOP 3 : France : La CNIL a frappé fort en décembre 2021 en condamnant Google à 150 millions € d’amende au total. La raison de cette condamnation était une atteinte à la liberté du consentement des utilisateurs lors du dépôt de cookies. 

Le cas Clearview : Rien de moins que quatre pays : la Grèce, le Royaume-Uni, la France et l’Italie. Ces quatre pays ont sanctionné Clearview entre février et octobre 2022 pour un total de plus de 68M € d’amende au total. Cette société a mis au point un moteur de recherche permettant d’identifier une personne par le biais d’une vidéo ou d’une photographie. Comment fait-elle cela ? Elle utilise (sans base légale) les données présentes des utilisateurs sur les réseaux sociaux. Elle aurait ainsi collecté des dizaines de milliards de photos sans consentement afin de pouvoir remplir sa base de données (ce qui constitue un traitement illégal).

TOP 4) Italie : Dans le cadre de ses services, Enel energia a été condamné en 2022 par l’autorité de protection des données italienne à 26,5 millions d'€. La société productrice d’énergie n’aurait pas respecté le consentement des utilisateurs avant de traiter leurs données à des fins de démarchages téléphoniques.

5) Allemagne : En janvier 2021 l’Allemagne a condamné à 10,4M € la société Notebooksbiliger qui avait mis en place, sans base légale, des caméras de vidéosurveillance de ses employés. 

6) Espagne : En mai 2022, l’autorité espagnol a sanctionné nul autre que Google pour irrespect du droit à l’oubli des personnes concernées. La sanction imposée à Google s’élève à 10M €. 

7) Autriche : En septembre 2021, on retrouve la poste autrichienne  sanctionnée à hauteur de 9,5 millions € pour avoir “oublié” de faciliter les demandes de droit des personnes concernées. 

8) Norvège : En décembre 2021, c’est l’application de rencontres Grindr qui a été condamnée à 6,3 millions € d’amende pour partage illégal de données. 

Le CEPD peut-il sanctionner une entreprise européenne à la place de la CNIL ?

Le CEPD (Comité européen de la protection des donnée) prend parfois des décisions contraignantes (sur le fondement de l’article 65) en cas de litiges entre autorités de protection des données de l’UE. Il poursuit aussi un travail d’élaboration de la doctrine commune grâce à la production de lignes directrices, d’avis, etc. La CNIL a en pratique renforcer ses partenariats avec d'autres autorités de contrôle européennes pour faciliter la mise en œuvre du RGPD à l'échelle européenne (inter-régulation).

Ces partenariats permettent d'harmoniser les pratiques et les interprétations de la réglementation. Prenez garde à ne pas confondre le CEPD avec la Cour de Justice de l'UE qui veille à l'uniformité de l'interprétation du droit européen sur tout le territoire. En somme, la Cour de Justice peut contrôler les décisions prises par les autorités publiques et les instances de justice de chaque pays membre de l'Union Européenne. Ses jugements peuvent s'appliquer à tous les Etats membres.

Les plus grandes sanctions recensées par pays en 2018 et 2019

Remontons dans l'histoire des sanctions RGPD avec ce classement dans les premières années après l'entrée en vigueur du RGPD (General Data Protection Regulation).

7ème position : Espagne : l'AEPD a sanctionné RTVE de 60 000 € pour la perte de six clés USB contenant des données de modèles sensibles.

6ème position : Pays-Bas : 2 sanctions pour absence de mesures de sécurité suffisantes :

La première pour un assureur dont le système d'authentification, pour l'accès aux données de santé de ses salariés, n'était pas suffisant. Condamné à une amende de 150 000 €/mois tant que le problème ne serait pas résolu (dans la limite de 900 000 €).

La seconde sanction a été appliquée à un hôpital pour ne pas avoir garanti une sécurité adéquate des dossiers de ses patients. L'Amende s'élève à 100 000 € toutes les deux semaines (avec une limite de 300 000 €) jusqu'à ce que la sécurité soit corrigée. 

5ème position : Espagne : LaLiga condamnée à 250 000 € pour violation du principe de légalité, de loyauté et de transparence.

TOP 4 : Portugal : Un hôpital pour avoir donné accès aux données des patients à travers de faux profils de médecins. Cela donnait un accès illimité aux dossiers des patients de l'hôpital qui a été condamné à 400 000 €.

TOP 3 : En Pologne : L'UODO condamne une boutique en ligne à une amende de 645 000 €. L'absence de système de sécurité adéquate a permis de découvrir les données personnelles de deux millions de clients.

TOP 2 : Allemagne : La société immobilière allemande Deutsche Wohnen a été condamnée à 14,5 millions €. Elle conservait des données outre mesure en enfreignant le General Data Protection Regulation.

TOP 1 : France : Google a été condamné à 50 millions €, car les informations mises à disposition des utilisateurs étaient difficilement accessibles et compréhensibles.

Petit bonus avec le Royaume-Uni (hors UE) : 110 millions € pour les hôtels Marriott suite à une violation de données de plus de 330M de personnes (ce qui constitue une atteinte aux droits des personnes considérable). Dans un même cadre, la compagnie British Airways a été condamnée à plus de 204 millions € pour avoir révélée a posteriori la violation des données de ses clients.

Pour terminer, voici le résumé d'une sanction RGPD originale

Le 24 septembre 2021, le ministère de l’Intérieur a été rappelé à l’ordre par la CNIL concernant la gestion du FAED, un fichier de police judiciaire d’identification, dans lequel sont traitées les empreintes digitales de personnes mises en causes dans le cadre de procédures pénales. Cependant de nombreux manquements ont été identifiés par la CNIL, tels qu’un manquement à l’obligation d’information des personnes concernées, une conservation des données excédant la durée de conservation légale ou strictement nécessaire, une collecte de données allant à l’encontre du principe de minimisation, une sécurisation dudit fichier trop faible. Le ministère de l’Intérieur a ainsi été enjoint de corriger ces manquements.