Plaintes, contrôles, sanctions :
LE RAPPORT D’ACTIVITÉ 2019 DE LA CNIL EST PARU
(SOURCE : https://www.cnil.fr/fr/mediatheque/rapports-annuels)
Outre des articles très intéressants, notamment sur la différence entre RGPD et directive ePrivacy, ou encore sur la reconnaissance faciale, la CNIL publie les chiffres relatifs aux plaintes, aux contrôles et aux sanctions prononcées. L’occasion pour LEGALPROTECH AVOCATS d’insister sur la nécessité pour tout organisme public ou privé de se mettre en conformité avec le Règlement Général de Protection des données (RGPD).
Les plaintes en augmentation constante
A la lecture du rapport, on découvre que les plaintes ont connu une augmentation de 27% par rapport à 2018. 43% des contrôles réalisés en 2019 avait pour base une plainte. Des mesures correctrices, telles que rappel à l’ordre, mise en demeure, sanction financière, injonction ont également pu être adoptées dans le prolongement de ces plaintes.
Dans le domaine professionnel on peut citer au rang des plaintes la surveillance des employés sur leur lieu ou pendant leur temps de travail, par des outils tels que vidéosurveillance, géolocalisation, écoutes téléphoniques, lesquelles ont représenté de nombreuses plaintes (10,7 % des plaintes reçues en 2019), que cela soit dans le secteur privé ou dans le secteur public.
Le nombre de plaintes relatives à la réception de prospection est également particulièrement important (14,7 % des plaintes).
Enfin, les défauts de sécurisation des données sont désormais un motif récurrent de plainte auprès de la CNIL : données accessibles sur internet ou communiquées à des tiers, mots de passe transmis en clair ou non suffisamment complexes, etc.
Les contrôles exercés par la CNIL et les prestations informatiques
En 2019, 7 000 actes d’investigation ont été conduits par les services de la CNIL en 2019. Comme indiqué ci-dessus, 43% avaient pour source des plaintes ou signalements, 31% ont été effectués à l’initiative de la CNIL, notamment au vu de l’actualité, 21% résultent des thématiques prioritaires décidées par la CNIL et 5% ont été réalisés dans le prolongement des mises en demeure ou procédures de sanction.
Il est intéressant de noter qu’en 2019, les services de contrôle ont porté une attention particulière aux conditions dans lesquelles un prestataire traite des données personnelles, pour le compte d’un responsable de traitement. Des contrôles ont donc été effectués, sur cette thématique, auprès de 15 organismes, fournisseurs de services et solutions informatiques.
Il en est ressorti que certains acteurs pensaient à tort ne pas être soumis au RGPD, considérant que ne réalisant qu’une prestation de maintenance, leur accès aux données personnelles n’étaient que ponctuel. Or, l’accès est par lui-même un traitement et donc l’entreprise soumise aux dispositions du RGPD.
Les sanctions pécuniaires prononcées
Grand bruit a été fait au sujet de la sanction record prise à l’encontre de GOOGLE.
En effet, à la suite de plaintes déposées par les associations La Quadrature du Net et None of your business en mai 2018, le 21 janvier 2019, la CNIL a prononcé une amende de 50 millions d’euros à l’encontre de Google pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.
Au total, en 2019, la formation restreinte a prononcé 8 sanctions (en ce compris la sanction susmentionnée), dont 5 publiques, ainsi que 2 délibérations aboutissant à un non-lieu. Ces sanctions se composent de 7 amendes administratives d’un montant total de 51 370 000 euros et 5 injonctions sous astreinte allant de 200 euros à 3 000 euros par jour de retard. Une même délibération peut prononcer plusieurs mesures correctrices.
Au rang des autres sanctions pécuniaires, on peut citer :
- Société de gestion immobilière – Défaut de sécurité des données personnelles et non-respect des durées de conservation – Sanction pécuniaire de 400 000 euros
- Société de traduction de documents – Données non adéquates et excessives, non pertinence, information insatisfaisante, défaut de sécurité des données personnelles, Vidéosurveillance – Sanction pécuniaire de 20 000 euros et injonction sous astreinte
- Société intermédiaire en assurance – Défaut de sécurité des données personnelles – Sanction pécuniaire de 180 000 euros
- Société d’installation d’équipements d’isolation – Non adéquation, non pertinence et caractère excessif des données, défaut d’information des personnes, non-respect du droit d’opposition, non coopération avec l’autorité de contrôle, transfert non encadré de données hors de l’UE – Sanction pécuniaire de 500 000 euros et injonction sous astreinte.
Mettez votre structure en conformité RGPD
Bien que les sanctions pécuniaires restent à ce jour limitées en volume, cela ne doit pas inciter les organismes publics ou privés à s’exonérer de leurs obligations. Pour mémoire, la CNIL peut également prononcer une mise en demeure, des rappels à l’ordre, des avertissements susceptibles d’être rendus publics et dont l’impact financier à terme peut être tout aussi important.
LEGALPROTECH AVOCATS et Maître Christelle REYNO, DPO certifié CNIL/AFNOR, vous accompagnent dans votre mise en conformité. Contactez-nous @ contact@legalprotech.fr, ou au 05 90 44 67 67, pour fixer un rendez-vous pour un premier pré diagnostic gratuit.