Sanctions RGPD : enseignements et exemples pour protéger votre organisme

Sanctions RGPD enseignements et exemples

En 2020, de nombreuses entreprises ont intégré les principes du RGPD et amélioré leur niveau de conformité. C’est le cas notamment de l’entreprise FUTURA. En effet, la CNIL a prononcé la fin de ses injonctions à l'égard de FUTURA car l'entreprise a présenté des preuves d’améliorations apportées à ses pratiques jugées non-conformes en 2019. 

Celles-ci portent notamment sur la manière dont l'entreprise informe les personnes de la collecte des données (même lorsque ces dernières proviennent de sources tierces), sur les mesures prises pour exclure les sous-traitants non conformes et sur l'efficacité avec laquelle la société traite les oppositions formulées par les personnes. 

Cette avancée chez FUTURA est porteur d'espoir et envoie un message clair : il est très important, en matière de protection des données :

  1. de communiquer la manière dont les données sont collectées et traitées, 
  2. d’engager uniquement des sous-traitants respectueux du RGPD et, 
  3. de respecter le souhait des personnes quant à un traitement (ex: ne plus être contactées pour démarchage).

Ces trois axes semblent former les fondamentaux qui serviront à la promotion de la protection des données en 2021. Dans un précédent article, nous présentons les 10 entreprises ayant subi les plus grandes sanctions RGPD au sein de l'Union Européenne (classement par pays 2018-2019).

Malgré le confinement, la CNIL a annoncé plusieurs sanctions à l’attention d’entreprises mais aussi à l’égard de médecins généralistes (en savoir plus)

Sanction RGPD : enseignements relatifs à l'information aux personnes concernées

Il semblerait qu'avant le contrôle de la CNIL, la société SPARTOO ait oublié d'expliquer en détail à ses employés comment se déroulait le traitement des enregistrements des appels téléphoniques passés avec les clients. 

L’entreprise omettait des points importants tels que la base légale du traitement, la finalité, les destinataires, la durée de conservation des données et les droits des employés. Cette société n’était pas la seule à se voir sanctionné pour manque de précisions : CARREFOUR FRANCE et CARREFOUR BANQUE se font aussi épinglées pour défaut de précisions sur ces points, auquel s’ajoute l’absence d’informations sur les transferts hors UE (en savoir plus).

En ce qui concerne la base légale, la société SPARTOO semble avoir utilisé uniquement le fondement "consentement" pour plusieurs traitements, alors que les autres bases légales étaient manifestement les clés correspondantes.

Informer les finalités bien définies est aussi crucial. A titre d’exemple, dans le cadre d’un “rappel à l’ordre” la CNIL a indiqué que partager une base de données à une personnalité politique ou un tiers sans l’avoir défini au préalable comme une finalité, est totalement illégal.

Sanction RGPD : enseignements relatifs à la minimisation des données

Le RGPD exige que l'on traite uniquement les données nécessaires à la finalité déterminée. Deux sanctions prononcées par la CNIL en 2020 nous montrent concrètement la manière dont ce principe peut être appliqué.

Dans le cas de SPARTOO, la société sanctionnée avait fixé la vérification des conversations téléphoniques avec leurs clients à des fins de formation des employés. En pratique, le responsable de la formation contrôlait un seul appel téléphonique par employé, par semaine. Cependant, tous les appels téléphoniques pris par tous les employés étaient enregistrés. 

De plus, ces enregistrements d'appels téléphoniques contenaient même des détails de la carte bancaire lorsqu'un client effectuait un achat par téléphone. Ces données bancaires n'étaient en réalité pas nécessaires pour le programme de formation. 

En outre, l'entreprise avait collecté des données concernant la carte de santé, en plus des détails de la carte d'identité, afin de lutter contre les fraudeurs. Or, les données de la carte d'identité suffisent à confirmer l'identité de la personne. Ainsi, la CNIL avait jugé que les données collectées étaient excessives au regard des finalités poursuivies dans ces différentes situations. 

Dans la deuxième sanction concernant PERFOMECLIC, la CNIL avait constaté que la société collectait les numéros de téléphone du client en même temps que l'adresse email, alors que les communications commerciales étaient en réalité transmises par email.

Sanction RGPD : enseignements relatifs à la minimisation des durées de conservation

L’un des thèmes complexes du RGPD est la minimisation des durées de conservation des données. En effet, ces durées varient d'un document à un autre, d'une donnée à une autre ou d'une finalité à une autre. L'article d'aujourd'hui ne traite pas de cette question sur comment trouver ces délais, mais plutôt pour vous informer des conséquences si vous ne faites pas le travail nécessaire pour définir et respecter ces durées. 

Ceci est l’une des raisons pour lesquelles SPARTOO a été mise en cause lors de son contrôle par la CNIL. A titre d’exemple : la société a fixé comme durée de conservation 5 ans à partir de la dernière action active du prospect. Pourtant, dans la réalité, ils n'ont eux-mêmes envoyé aucune publicité à un prospect qui est inactif depuis plus de deux ans. Alors pourquoi conserver les données jusqu'à 5 ans ? (en savoir plus sur le RGPD et la prospection commerciale).

Et puis CARREFOUR FRANCE a été sanctionnée car elle n'a pas respecté les délais qu'elle s'était fixée pour ses activités de traitement (4 ans). En effet, les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans ont ainsi été conservées dans le cadre du programme de fidélité. Il en est de même pour 750.000 utilisateurs du site carrefour.fr inactifs depuis 5 à 10 ans.

De plus, dans ce cas, la CNIL estime qu'une durée de conservation de 4 ans des données des clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui effectuent principalement des achats réguliers.

Sanction RGPD : enseignements relatifs à la sécurité informatique

La coopération de la CNIL avec son homologue britannique, l'ICO, pour sanctionner Marriott et British Airways en 2020 a marqué l'une des plus importantes amendes en matière de protection des données. Mais pour quelle raison ? 

Ces entreprises ont dû faire face à des violations de données qui ont conduit à compromettre un grand nombre de données à caractère personnel et hautement personnel. 

Ces violations de données ont rendu un grand nombre de données à caractère personnel accessibles à des tiers.

Dans le cas de British Airways, les données d'environ 430 000 personnes, y compris les noms, prénoms, adresses et, pour plus de 200 000 d'entre elles, leurs données bancaires (numéros de carte de crédit et codes CVV) ont été rendues accessibles.

Pour le groupe hôtelier Marriott, 339 millions de comptes clients ont été touchés, dont 30 millions de comptes européens contenant des noms, prénoms, e-mails et numéros de passeport. Retrouvez dans un autre article la liste des 10 entreprises ayant subi les plus grandes sanctions RGPD au sein de l'Union Européenne (classement par pays 2018-2019).

Sans s'arrêter là, la CNIL attire également l'attention sur l'importance de la sécurisation des données de santé, en sanctionnant deux médecins libéraux (en savoir plus). En effet, des milliers d'images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur Internet. Cette violation des données était due à un mauvais choix de configuration de leur box Internet ainsi qu'à un mauvais paramétrage de leur logiciel d'imagerie médicale. Les investigations ont également révélé que les images médicales stockées sur leurs serveurs n'étaient pas systématiquement chiffrées. 

Si vous ne parvenez pas à sécuriser correctement vos données, vous pourrez connaître un cas de violation de données (perte ou vol d’informations) sans vous en rendre compte. Or, le RGPD exige que vous notiez la CNIL en cas de violation de données. Vous risquez donc la double peine : une pour ne pas sécuriser les données, deux pour ne pas notifier la CNIL.

La CNIL elle-même invite tous les acteurs à une véritable réflexion sur les mesures de sécurité appliquées pour valoriser leur patrimoine informationnel. La valeur des actifs informationnels ne réside pas seulement dans le nombre de données, mais aussi dans la sécurité de ces données. 

Ceci étant, nous allons aborder les deux sanctions qui sont tombées en 2020 sur une technologie qui a considérablement augmenté la récolte de données sur Internet : les cookies.

Sanction RGPD : enseignements relatifs à la gestion des cookies

AMAZON EUROPE CORE, GOOGLE LLC et GOOGLE IRELAND LIMITED : deux des magnats des données ont été sévèrement frappés par la CNIL en 2020. Les faits sanctionnés sont identiques : lorsqu'un utilisateur visitait leurs sites, des cookies étaient automatiquement déposés sur son ordinateur, sans aucune action de sa part. Ce qui constitue une violation de l'article 82 de la loi informatique et libertés. 

En sanctionnant ces deux sociétés, la CNIL rappelle que :

- un cookie à but publicitaire, ou même non essentiel au service, ne pouvait être déposé qu'après que l'internaute ait exprimé son consentement.

- une description générale et approximative des finalités de l'ensemble des cookies déposés n'est pas suffisante pour informer la personne avant de lui demander son consentement.

En effet, ce sujet mérite d'être longuement développé. Pour information, la gestion des cookies est l’une des thématiques prioritaires de contrôle de la CNIL. Pour en savoir plus, découvrez notre article dédié aux Cookies et la protection des données personnelles

Dans tous les cas, évitez à tout prix les pratiques suivantes :

- ne pas faire de mentions sur les cookies sur votre site ; ou

- afficher un message vague tel que "En utilisant ce site, vous acceptez que nous utilisions des cookies pour fournir et améliorer nos services. Lire la suite", sans expliquer la raison du dépôt des cookies.  

Les informations fournies doivent permettre à l'utilisateur de comprendre que les cookies déposés sur son ordinateur étaient principalement destinés à, par exemple, afficher des publicités personnalisées. La précision contribue largement à la validité du consentement.

Sanction RGPD : enseignements relatifs au respect des droits des personnes

La raison d'être du RGPD est en effet de renforcer les droits des personnes sur l'utilisation de leurs données personnelles. Ainsi, il est essentiel que quiconque (organisme ou professionnel libérale) collecte des données personnelles en dehors de son utilisation personnelle, fasse en sorte que les demandes d'exercice des droits RGPD d’un individu soient appliqués. 

Il est frappant de constater que la quasi-totalité des sanctions prononcées par la CNIL en 2020 contiennent un manquement au respect des droits prévus par le RGPD. Le droit à l'information, dont nous avons parlé au début de cet article, est le premier à ne pas être respecté. 

Il semble que le deuxième droit le plus fréquemment ignoré est le droit de s'opposer à un traitement - ce qui signifie que si un individu dit non au traitement, il faut arrêter d'exploiter ses données personnelles. CARREFOUR FRANCE et GOOGLE n'ont pas pris en compte les oppositions des personnes, que ce soit pour la prospection ou pour l'utilisation des cookies. CARREFOUR a compliqué la procédure d'opposition à la prospection en demandant indûment les copies de carte d'identité et en ne répondant pas dans le délai imparti de 30 jours. Quant à GOOGLE, l’entreprise continuait à déployer un cookie publicitaire, même lorsque l'on avait désactivé la personnalisation de la publicité.

Ces articles RGPD pourraient vous intéresser :

- Amende RGPD à l'égard de l'office HLM de la métropole de Rennes

- L'obligation de nommer un DPO interne ou externe

- Focus sur les sanctions de la CNIL