Sanction de la CNIL pour atteinte à la sécurité des données et non-respect des durées de conservation

Par une délibération du 28 mai 2019, la CNIL a prononcé une amende administrative à l’encontre d’une société immobilière à hauteur de 400 000 euros pour avoir manqué à ses obligations d’assurer la sécurité des données personnelles et de conserver les données pour une durée proportionnée. La CNIL a notamment constaté un défaut de sécurité du site internet de la société ayant permis d’accéder, à partir de la seule modification d’adresses URL, aux données à caractère personnel relatives aux candidats locataires en soulignant le caractère aggravé du manquement au regard de la nature des données rendues accessibles.

Pour lire la délibération de la Cnil

La Cour d’appel de Paris condamne un auteur pour contrefaçon du titre d’un ouvrage

A la suite de vérifications en ligne, la CNIL avait constaté que les données personnelles des clients d’une enseigne d’optique étaient librement accessibles sur son site internet. Deux jours après avoir été alertée par la CNIL, la société avait corrigé le défaut de sécurité. Par un arrêt du 17 avril 2019, le Conseil d’Etat a jugé qu’“en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société (…) a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée”. Le Conseil d’Etat a ainsi ramené le montant de la sanction a 200.000 euros.

Pour lire l’arrêt sur Légalis.net

La CNIL prononce à l’encontre de Google une sanction record de 50 millions d’euros

Google s’est vu sanctionner par la CNIL à hauteur de 50 millions d’euros, le 21 janvier 2019, en raison de manquements à ses obligations de transparence, d’information et de recueil d’un consentement valable en matière de publicité ciblée. La CNIL lui reproche notamment "un défaut global d’accessibilité des informations délivrées" ne permettant pas aux utilisateurs d’être en mesure de comprendre l’ampleur des traitements mis en œuvre par Google, "particulièrement massifs et intrusifs". Au regard des finalités des traitements mis en œuvre par Google (notamment la publicité ciblée), la CNIL considère que le consentement recueilli n’est pas "libre, spécifique, éclairé et univoque". La CNIL rappelle que cette décision est notamment motivée par l’"ampleur des traitements déployés", et qu’au vu des "avantages [que Google] retire de ces traitements, la société doit apporter une attention toute particulière à la responsabilité qui lui incombe au titre du RGPD dans leur mise en œuvre".

Pour lire la délibération de la CNIL

Sanction de la CNIL pour manquement à l’obligation d’assurer la sécurité et la confidentialité des données

Une association d’utilité publique dont l’objectif est de contribuer au développement de la langue française s’est vue sanctionnée par la CNIL à hauteur de 30 000 euros le 6 septembre 2018, pour avoir manqué à son obligation en tant que "responsable du traitement (…) de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès". Il lui était reproché un incident de sécurité qui avait permis l’accès à des documents contenant des données à caractère personnel de personnes suivant les cours de français qu’elle dispense, à partir de la seule modification d’adresses URL.

Pour lire la décision de la CNIL

Validation par le Conseil d’Etat d’une sanction prononcée par la CNIL

Par une décision du 6 juin 2018, le Conseil d’Etat a validé la sanction pécuniaire de 25 000 € que la CNIL avait prononcée à l’encontre d’une société notamment pour manquement à son obligation d’information et de mise en œuvre d’un mécanisme d’opposition au dépôt de cookies sur les appareils des utilisateurs. Il a en effet relevé que “les éléments portés à la connaissance des utilisateurs du site (…) ne leur permettaient ni de différencier clairement les catégories de « cookies » susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition”.

Pour lire la décision du Conseil d’Etat

La CNIL prononce une sanction de 250.000 euros pour atteinte à la sécurité des données

Le 7 mai 2018, la CNIL a sanctionné une société sur le site internet de laquelle il était possible de consulter diverses factures contenant des données à caractère personnel en modifiant simplement l’identifiant desdites factures dans les adresses URL affichées dans la barre du navigateur. La CNIL a constaté un manquement à l'article 34 de la loi Informatique et Libertés relatif à l'obligation de sécurité des données personnelles, après avoir relevé que le site internet n’intégrait aucune fonctionnalité permettant de vérifier que le client s'était authentifié avant de pouvoir accéder à ces documents et constate. Elle a également souligné que "les risques liés à la divulgation de données personnelles ne sauraient être limités à une indexation de ces dernières par les moteurs de recherche ou à l’accès à l’espace client et à la modification de documents" mais comprennent aussi des "risques multiples parmi lesquels figure celui de faire l’objet d’un hameçonnage ciblé". Elle a ainsi condamné la société à une sanction pécuniaire de 250.000 euros.

Pour lire la délibération de la CNIL

Sanction pécuniaire pour négligence dans la surveillance des actions d’un sous-traitant

Dans une délibération du 18 juillet 2017, la CNIL a prononcé une sanction publique de 40 000 euros à l’encontre d’une société de location de véhicules pour violation de données personnelles due à une erreur commise par son sous-traitant. En octobre 2016, la CNIL avait constaté lors d’un contrôle en ligne qu’en ajoutant une chaîne de caractères et un identifiant à l’URL du site conçu par la société pour les besoins d’un programme de réductions, “les pages affichées faisaient apparaître les données à caractère personnel renseignées par les personnes ayant adhéré au[dit] programme”. À l’issue de contrôles réalisés au sein des locaux de la société, la CNIL a relevé que la violation “avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs [par le sous-traitant qui avait développé le site], causant le réaffichage du formulaire contenant l’ensemble des données (…) renseignées par les personnes s’inscrivant au programme de réduction”. La formation restreinte a donc considéré que “la violation de données résult[ait] d’une négligence de la société dans la surveillance des actions de son sous-traitant”.

Pour lire la délibération de la CNIL

Sanction pour manquement au droit d’accès et non-coopération avec la CNIL

Une personne avait demandé la transmission de son dossier médical à son ancien cabinet dentaire. En l’absence de réponse de sa part, elle a porté plainte auprès de la CNIL sur le fondement de “l’absence de réponse à sa demande d’accès aux données à caractère personnel contenues dans son dossier médical”. Face à l’absence de réponse du cabinet médical aux sollicitations de la CNIL, une procédure de sanction a été engagée. Par une délibération du 18 mai 2017, la formation restreinte de la CNIL a estimé que le cabinet dentaire avait effectivement manqué à l’obligation de respecter le droit d’accès de son ancien patient. Elle estime que “le secret médical ne [pouvait] s’opposer, en l’espèce, à la communication au patient des données le concernant et contenues dans son dossier médical” et que “le comportement [belliqueux] du plaignant [était] sans incidence” au contraire de ce que faisait valoir le cabinet médical. La CNIL relève également un manquement aux obligations de répondre à ses demandes puisque ses “cinq courriers (…) sont restés sans réponse”. Eu égard aux manquements relevés, le cabinet dentaire a été condamné à une sanction pécuniaire de 10 000 € et à la publication de la délibération.

Pour lire la délibération de la formation restreinte de la CNIL

Sanctions pour manquements persistants à la loi Informatique et Libertés

Une société spécialisée dans le transport de particuliers avait fait l’objet d’un contrôle de la CNIL en janvier 2015 suite à une plainte d’un client. Cette dernière avait notamment constaté des manquements relatifs à la durée de conservation des données bancaires communiquées par les clients lors de leurs réservations en ligne et à la sécurité des données en raison de sa politique de gestion des mots de passe. En dépit de mises en demeure, de courriers de relance et de discussions, la CNIL a constaté en décembre 2016 que la société ne s’était toujours pas mise en conformité avec ses obligations. Aussi, par une délibération du 13 avril 2017, la formation restreinte de la CNIL a constaté que “les manquements (…) [avaient] persisté bien au-delà de l’échéance du délai [de 3 mois] imparti par la mise en demeure” du 10 novembre 2015, et donc que le prononcé d’une sanction pécuniaire de 15 000 € et la publication de sa délibération étaient justifiés.

Pour lire la délibération de la formation restreinte de la CNIL

Sanction de la CNIL pour défaut de recueil du consentement exprès préalablement à la collecte de données sensibles

Par deux délibérations du 15 décembre 2016, la CNIL a prononcé des sanctions pécuniaires rendues publiques à l’encontre de deux sites internet de rencontres en raison du défaut de recueil du consentement exprès de leurs utilisateurs concernant la collecte de leurs données relatives à leur orientation sexuelle et, pour l’un des sites, à leurs origines raciales ou ethniques et opinions politiques, philosophiques ou religieuses, qui sont des données sensibles. La CNIL a en effet estimé que le recueil de ce consentement par le biais d’une seule et unique case à cocher relative à trois informations distinctes (majorité, acceptation des CGU et traitement des données sensibles) diluait l’information et que le renseignement spontané de ces données par les utilisateurs n’équivalait pas à un consentement exprès au sens de l’article 8 de la loi Informatique et Libertés.

Pour lire la première et la seconde délibération sur le site de la CNIL