Sanction pour manquement au droit d’accès et non-coopération avec la CNIL

Une personne avait demandé la transmission de son dossier médical à son ancien cabinet dentaire. En l’absence de réponse de sa part, elle a porté plainte auprès de la CNIL sur le fondement de “l’absence de réponse à sa demande d’accès aux données à caractère personnel contenues dans son dossier médical”. Face à l’absence de réponse du cabinet médical aux sollicitations de la CNIL, une procédure de sanction a été engagée. Par une délibération du 18 mai 2017, la formation restreinte de la CNIL a estimé que le cabinet dentaire avait effectivement manqué à l’obligation de respecter le droit d’accès de son ancien patient. Elle estime que “le secret médical ne [pouvait] s’opposer, en l’espèce, à la communication au patient des données le concernant et contenues dans son dossier médical” et que “le comportement [belliqueux] du plaignant [était] sans incidence” au contraire de ce que faisait valoir le cabinet médical. La CNIL relève également un manquement aux obligations de répondre à ses demandes puisque ses “cinq courriers (…) sont restés sans réponse”. Eu égard aux manquements relevés, le cabinet dentaire a été condamné à une sanction pécuniaire de 10 000 € et à la publication de la délibération.

Pour lire la délibération de la formation restreinte de la CNIL

Sanctions pour manquements persistants à la loi Informatique et Libertés

Une société spécialisée dans le transport de particuliers avait fait l’objet d’un contrôle de la CNIL en janvier 2015 suite à une plainte d’un client. Cette dernière avait notamment constaté des manquements relatifs à la durée de conservation des données bancaires communiquées par les clients lors de leurs réservations en ligne et à la sécurité des données en raison de sa politique de gestion des mots de passe. En dépit de mises en demeure, de courriers de relance et de discussions, la CNIL a constaté en décembre 2016 que la société ne s’était toujours pas mise en conformité avec ses obligations. Aussi, par une délibération du 13 avril 2017, la formation restreinte de la CNIL a constaté que “les manquements (…) [avaient] persisté bien au-delà de l’échéance du délai [de 3 mois] imparti par la mise en demeure” du 10 novembre 2015, et donc que le prononcé d’une sanction pécuniaire de 15 000 € et la publication de sa délibération étaient justifiés.

Pour lire la délibération de la formation restreinte de la CNIL

Sanction de la CNIL pour défaut de recueil du consentement exprès préalablement à la collecte de données sensibles

Par deux délibérations du 15 décembre 2016, la CNIL a prononcé des sanctions pécuniaires rendues publiques à l’encontre de deux sites internet de rencontres en raison du défaut de recueil du consentement exprès de leurs utilisateurs concernant la collecte de leurs données relatives à leur orientation sexuelle et, pour l’un des sites, à leurs origines raciales ou ethniques et opinions politiques, philosophiques ou religieuses, qui sont des données sensibles. La CNIL a en effet estimé que le recueil de ce consentement par le biais d’une seule et unique case à cocher relative à trois informations distinctes (majorité, acceptation des CGU et traitement des données sensibles) diluait l’information et que le renseignement spontané de ces données par les utilisateurs n’équivalait pas à un consentement exprès au sens de l’article 8 de la loi Informatique et Libertés.

Pour lire la première et la seconde délibération sur le site de la CNIL

CNIL : avertissement et mise en demeure d’un site de vente en ligne

Par délibérations des 20 et 26 septembre 2016, la CNIL a sanctionné une société de vente en ligne de produits aux particuliers. L’avertissement est principalement fondé sur le non-respect des obligations de sécurité et de confidentialité des données des utilisateurs, ainsi que sur la durée de conservation des données, jugée excessive. La décision de mise en demeure résulte de plusieurs manquements, notamment à l’obligation de recueillir le consentement des personnes concernées pour la conservation de leurs coordonnées bancaires, de leur fournir les informations relatives au traitement réalisé ou encore de mettre en œuvre un mécanisme valable d’opposition. La société dispose de trois mois pour se mettre en conformité.

Pour lire l’avertissement et la mise en demeure de la CNIL

Sanction pécuniaire prononcée par la CNIL à l’encontre de Google

Par une délibération du 10 mars 2016, la CNIL a prononcé une sanction pécuniaire publique à l’encontre de la société Google pour non-respect de la mise en demeure publique du 21 mai 2015 qui l’enjoignait de mettre en œuvre la procédure de déréférencement sur l’intégralité des extensions du nom de domaine de son moteur de recherche. La CNIL a constaté que la solution proposée par Google consistant à circonscrire le déréférencement sur l’intégralité des extensions de son moteur de recherche aux seules requêtes émanant du pays du demandeur, “déterminé (…) par l’adresse IP de l’utilisateur”, demeure incomplète. Selon la CNIL, “seule une mesure s’appliquant à l’intégralité du traitement lié au moteur de recherche, sans distinction entre les extensions interrogées et l’origine géographique de l’internaute effectuant une recherche” permettrait de rendre effectif le droit au déréférencement.

 Pour lire la délibération de la CNIL

Sanction par la CNIL pour défaut de sécurité et de confidentialité des données

Dans une délibération du 5 novembre 2015, la CNIL a condamné une société distribuant des produits optiques à une sanction pécuniaire d’un montant de 50 000 euros pour non-conformité à la loi Informatique et Libertés. La CNIL a constaté que la société n’avait pas respecté son obligation d’assurer la sécurité et la confidentialité des données qu’elle traitait et n’avait pas non plus veillé à ce que son sous-traitant respecte de telles obligations. La CNIL avait en effet relevé que “le contrat entre la société et son sous-traitant ne comportait aucune clause relative à la sécurité et à la confidentialité des données”.

Pour lire la délibération sur le site de la CNIL