
Hogan Lovells 2024 Election Impact and Congressional Outlook Report
En 2024, la CNIL a intensifié son activité répressive en prononçant 87 sanctions, 180 mises en demeure et 64 rappels à la loi. Cependant, seules 12 délibérations de sanction ont été rendues publiques, compliquant ainsi l'exercice de la lisibilité de la doctrine du régulateur. En effet, la conformité des entreprises au droit applicable est un défi parfois bousculé par les pratiques des autorités de contrôle. Une étape importante de cette préparation consiste à suivre attentivement les actions des autorités afin d'identifier les tendances et les pratiques à risque pour déterminer des priorités dans les différentes étapes de mise en conformité. A l’occasion de la publication par la CNIL du bilan de ses actions pour l'année 20241, nous vous proposons de dresser un panorama des diverses sanctions prononcées par la CNIL au cours de l'année écoulée et de tirer des enseignements utiles pour l’avenir.
Au cours de l’année 2024, la CNIL a adopté 331 délibérations, dont 87 sanctions, 180 mises en demeure et 64 rappels aux obligations légales, et ce dans divers secteurs tels que les télécommunications, l’immobilier, le commerce, les services en ligne ou encore la santé.
Le nombre de sanctions prononcées par la formation restreinte de la CNIL augmente d’année en année et 2024 confirme cette tendance : 87 délibérations ont été rendues, contre 42 en 2023, et 21 en 2022. La majorité des sanctions adoptées s’inscrivent dans le cadre de la mise en œuvre de la récente procédure simplifiée, représentant a elle-seule 69 délibérations.
Le montant cumulé des amendes a largement diminué par rapport à l’année 2023, de 90 millions d’euros contre près de 55 millions d’euros pour l’année 2024. Parmi les 87 délibérations, 72 comportent des amendes administratives et 14 sont assorties d’injonctions sous astreinte.
Dans cet ensemble de 87 délibérations prononçant une sanction, seules 12 ont été rendues publiques par la CNIL. Celles-ci permettent de dresser un panorama de l’action de la CNIL portant sur le respect (1) des principes clés du RGPD, (2) le traitement des données sensibles, (3) des droits des personnes, (4) des obligations de conformité incombant respectivement aux responsables du traitement ou aux sous-traitants, ou (5) de l’obligation de sécurité.
Les délibérations de la CNIL adoptées en 2024 viennent, de façon classique, sanctionner le non-respect des principes clés établis par le RGPD tels que le principe (a) de minimisation, (b) de proportionnalité de la conservation des données, (c) ou encore de licéité des traitements.
Conformément au principe de minimisation, les données à caractère personnel collectées doivent être adéquates, pertinentes, et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Le non-respect de ce principe a été l’un des griefs retenu par la CNIL à l’encontre de la société COSMOSPACE2. Cette dernière offre des prestations de voyance à distance et enregistre systématiquement et intégralement les conversations téléphoniques entre les voyants et les clients, entre les voyants et les standardistes, ainsi qu’entre les standardistes et les clients/prospects. La société avait déterminé que les conversations entre le standard et les clients/prospects devaient être enregistrées afin de prouver la souscription au contrat de prestation par ces derniers.
Selon COSMOSPACE, l’enregistrement intégral apparait nécessaire dès lors que l’ensemble de l’échange téléphonique permet d’aboutir à un accord avec son client. La CNIL désapprouve cette approche et rappelle que l’enregistrement de conversations téléphoniques est possible s’il est nécessaire et qu’il n’existe aucune autre modalité de preuve de la souscription, comme une confirmation écrite. A cet égard, la CNIL considère que l’enregistrement ne peut être intégral et ne devrait porter que sur la partie de la conservation portant clairement sur la souscription au contrat, c’est à dire celle où le client accepte, après avoir reçu les informations adéquates (prix de la prestation, durée, modalités etc.), d’avoir recours aux services de la société.
Concernant les conversations entre le standard et les voyants ainsi que celles entre les voyants et les clients, la société soutenait qu’elles étaient enregistrées à des fins de formation ainsi que de contrôle et de qualité de son service. La CNIL réaffirme sa jurisprudence3 et rappelle que l’enregistrement intégral et systématique des conversations téléphoniques des salariés d’une société n’est pas justifié au regard de la finalité de formation de ces derniers, d’autres moyens moins intrusifs, tels qu’un enregistrement ponctuel et aléatoire, étant plus appropriés.
Par ailleurs, la CNIL s’est également saisie du sujet de la surveillance des salariés au regard du principe de minimisation. Une telle surveillance peut être mise en place à l’initiative des employeurs par l’intermédiaire d’un dispositif de vidéosurveillance. En revanche, un employeur ne peut mettre en place un système de vidéosurveillance aboutissant à la surveillance permanente de ses salariés, sans justifier de circonstances particulières au regard de la finalité pour laquelle un tel dispositif est mis en place.
Sur ce point, tant la Cour de cassation4 que le Conseil d’Etat5 considèrent qu’une surveillance constante des salariés à des fins de prévention des atteintes aux biens est attentatoire et disproportionnée. En outre, pour être proportionnés, les dispositifs de vidéosurveillance ne devraient pas, en dehors de circonstances exceptionnelles, capter le son.
Ainsi, la CNIL a sanctionné une société du secteur de l’immobilier6 , qui avait mis en place un système de vidéosurveillance haute définition accessible en temps réel et captant en permanence l’image et le son au sein des espaces de travail et de repos de ses salariés, aux fins de prévention des atteintes aux biens.
Cette même société mesurait également la productivité des salariés à l’aide d’un logiciel installé au sein de leur ordinateur. Le logiciel comptabilisait le temps passé sur certains sites web préalablement paramétrés comme productifs ou non par la société. Ce logiciel prenait également des captures d’écran régulières de l’ordinateur des salariés. Selon la CNIL, un tel dispositif est également contraire au principe de minimisation en ce qu’il aboutit à une surveillance quasi-permanente des salariés alors qu’il existe des outils moins intrusifs pour évaluer la productivité des employés.
Le respect du principe de limitation de la conservation des données à caractère personnel selon lequel les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, reste chaque année un sujet majeur pour la mise en conformité au RGPD des entreprises.
Au cours de ses contrôles en 2024, la CNIL a constaté des manquements au respect de cette obligation pour diverses raisons.
Tout d’abord concernant les durées de conservation fondées sur une obligation légale. Au cours d’un contrôle portant initialement sur l’information des personnes et le parcours utilisateur de la société DE PARTICULIER A PARTICULIER7, la CNIL a constaté que cette dernière appliquait une durée légale de conservation des données alors que l’obligation en cause n’était pas applicable.
L’obligation légale en cause, issue du droit de la consommation, impose une durée de conservation des informations relatives au contrat d’un montant supérieur à 120 euros pour une durée de 10 ans. Or, cette durée de conservation était appliquée par la société indifféremment du montant de l’abonnement en cause, quand bien même le seuil de 120 euros n’était pas atteint. L’obligation légale n’étant pas applicable, la CNIL a jugé qu’une conservation des données pendant 10 ans était dès lors disproportionnée.
Par ailleurs, la vigilance est également de mise concernant l’application effective d’une politique de durée de conservation. La société précitée conservait les données des utilisateurs de son site web, n’ayant pas recours à ses services payants, pour une durée de 5 ans à partir de la dernière connexion au compte utilisateur pour des finalités contentieuses et de lutte contre la fraude. Si la CNIL a considéré que cette durée était justifiée, les contrôles ont révélé qu’en pratique, la société conservait les données de certains comptes pendant plus de 5 ans, et pendant plus de 10 ans pour d’autres comptes, constituant un manquement au principe de limitation de conservation des données.
La CNIL s’est aussi intéressée aux durées de conservations en matière de prospection commerciale. L’autorité est particulièrement attentive à ce sujet, celle-ci ayant adopté un référentiel relatifs aux traitements mis en œuvre aux fins de gestion des activités commerciales en 20218. Au sein de ce référentiel, la CNIL recommande de conserver les données relatives à ce traitements pour une durée maximale de 3 ans à compter de la fin de la relation commerciale.
Les sociétés COSMOSPACE9et TELEMAQUE10ont ainsi été sanctionnées pour avoir conservé les données de leurs clients à des fins de prospection commerciale pour une durée de 6 ans à compter de la dernière prestation.
En matière de durée de conservation illimitée, une pratique de la société KASPR11 a été remise en cause par la CNIL. KASPR édite une extension chrome permettant à ses utilisateurs d’obtenir les coordonnées professionnelles des personnes cibles consultant leur profil LinkedIn. Pour ce faire, KASPR collecte donc les données de contact des personnes cibles sur le réseau social professionnel. Si précédemment la société conservait ces données pour une durée indéterminée, elle a mis en place une nouvelle politique en 2021, ainsi qu’un système de conservation à renouvellement dynamique automatique.
Plus concrètement, les données des personnes cibles sont conservées pour une durée de 5 ans à compter de leur collecte, et en cas de mise à jour de ces données, pouvant subvenir d’un changement de poste ou d’employeur, les données nouvellement à jour sont à nouveau conservées pour une durée de 5 ans.
La CNIL considère que ce renouvellement automatique conduit à une durée de conservation disproportionnée, et a sommé la société de mettre fin à cette pratique et d’adopter une durée de conservation fixe de 5 ans.
Un traitement de données à caractère personnel doit reposer sur une base légale appropriée en application de l’article 6 du RGPD. Cette année, la CNIL a identifié plusieurs manquements sur des traitements reposant sur l’intérêt légitime, une des bases légales de l’article 6.
La CNIL a sanctionné HUBSIDE STORE12, KASPR13 ainsi qu’une société du secteur immobilier14 pour avoir réalisé des traitements de données auxquels les personnes concernées ne pouvait légitimement s’attendre, disqualifiant ainsi l’applicabilité de la base légale de l’intérêt légitime.
HUBSIDE STORE réalisait des opérations de prospection commerciale par appels téléphoniques à partir de coordonnées obtenus auprès de data brokers. Ces derniers collectaient les données de prospects via des formulaires de jeux-concours en ligne, HUBSIDE STORE n’étant pas systématiquement mentionnée dans la liste des partenaires susceptibles de démarcher les personnes concernées.
Si la CNIL a rappelé que la prospection commerciale par appels téléphoniques peut reposer sur l’intérêt légitime du responsable de traitement, elle a également indiqué que les personnes concernées doivent légitimement s’attendre à faire l’objet d’un tel traitement. Or, en n’étant pas informées de la possibilité de se faire démarcher par la mise en cause, les personnes concernées ne pouvaient légitimement s’y attendre. Dès lors, le traitement ne pouvait reposer sur l’intérêt légitime.
Concernant KASPR, la CNIL s’est attachée au point de savoir si les personnes cibles consultant les profils LinkedIn des utilisateurs de l’extension chrome KASPR pouvait légitimement s’attendre à ce que leurs données soient collectées. Sur le réseau LinkedIn, les utilisateurs ont la possibilité de paramétrer la confidentialité de leur profil, de sorte que leurs coordonnées soient ou non publiquement accessibles. La CNIL a considéré que pour les utilisateurs LinkedIn ayant fait le choix de restreindre l’accès à leurs coordonnées, la collecte de ces dernières ne peut reposer sur l’intérêt légitime. En effet, en ayant choisi de ne pas rendre publiques leurs données, les utilisateurs ne peuvent raisonnablement s’attendre à ce que leurs coordonnées soient collectées, la CNIL voyant là une forme d’opposition à l’utilisation de leurs données. Dès lors, KASPR ne pouvait recourir à l’intérêt légitime pour le traitement de ces données.
Le recours à la base légale de l’intérêt légitime par une société du secteur de l’immobilier15 pour les traitements mis en œuvre par son logiciel de surveillance du temps de travail et de la productivité de ses salariés a également fait l’objet d’un examen de la CNIL.
S’agissant de la mesure du temps de travail, le logiciel, intégré au sein des ordinateurs des salariés, comptabilisait le temps d’inactivité des salariés en analysant les mouvements de souris et l’activité sur les claviers. Le temps d’inactivité, s’il n’était pas justifié ou rattrapé par le salarié, était décompté de son salaire. La CNIL considère que ces outils de surveillance automatisée et permanente sont, sauf circonstances exceptionnelles non prouvée en l’espèce, disproportionnés au regard des intérêts légitimes de l’employeur. Selon la CNIL, le dispositif porte une atteinte disproportionnée aux droits des salariés, qui ne pouvaient raisonnablement s’attendre à cette surveillance permanente. Le traitement ne pouvait donc reposer sur l’intérêt légitime.
S’agissant de la mesure de la productivité, le logiciel comptabilisait le temps passé sur certains sites web préalablement paramétrés comme productifs ou non par la société. Il prenait également des captures d’écran régulières de l’ordinateur des salariés. Un tel dispositif est également disproportionné au regard des intérêts et droits fondamentaux des salariés, en particulier leur droit à la protection de leur vie privée, si bien que le traitement ne pouvait reposer sur l’intérêt légitime.
En application de l’article 82 de la loi Informatique et Libertés, tout abonné ou utilisateur d’un service de communication électronique doit donner son consentement préalablement au dépôt et à la lecture de certains traceurs sur son terminal (ex. ordinateur, téléphone, tablette etc.). D’autres traceurs sont exemptés du recueil du consentement.
La CNIL s’est intéressée au cas où l’internaute a donné puis retiré son consentement au dépôt et à la lecture de traceurs soumis en consentement. En cause, la société ORANGE16 qui, sur plusieurs dizaines de cookies et malgré le retrait du consentement des internautes, continuait à lire les traceurs sur leurs terminaux. ORANGE avançait qu’aucun texte ni jurisprudence ne précisait les modalités de prise en compte du retrait du consentement, ni n’imposait l’obligation de cesser toute opération de lecture. La société soutenait également que si les traceurs étaient lus, ils ne faisaient plus l’objet d’aucune exploitation après le retrait du consentement.
La CNIL, reprenant sa doctrine, expose que si le dépôt et la lecture d’un traceur est soumis au consentement, il offre nécessairement, de manière corrélative, le droit de retirer son consentement et de revenir sur son choix17. La formation restreinte a ensuite rappelé la distinction entre, d’une part, le dépôt et la lecture de traceurs, qui sont des opérations soumises au consentement au titre de la loi Informatique et Libertés, et, d’autre part, l’exploitation ultérieure qui est faite des données générées par ces traceurs, qui est soumise aux dispositions du RGPD. Dès lors, selon la CNIL, l’absence d’exploitation de ces données n’a aucune incidence sur la conformité d’ORANGE à la lecture des traceurs après retrait du consentement.
Ainsi, en continuant les opérations de lecture de traceurs après le retrait du consentement des utilisateurs de son site web, la société a commis un manquement à ses obligations.
En application de l’article 13 de la directive ePrivacy, un utilisateur ou un abonné ne peut, sauf exceptions, faire l’objet d’une prospection commerciale au moyen d’un système automatisé de communications électroniques, ou de encore courriers électroniques utilisant leurs coordonnées, sans avoir recueilli le consentement préalable de cet utilisateur ou abonné. Cette disposition est transposée en droit français au sein de l’article L34-5 du Code des postes et des communications électroniques (« CPCE »). La CNIL a particulièrement contrôlé la conformité des responsables du traitement dans ce domaine. En particulier, la CNIL a infligé une amende de 50 millions d’euros à ORANGE18 pour des manquements liés des pratiques de prospection commerciale à travers son service de messagerie électronique.
Lorsque les utilisateurs du service de messagerie « Mail Orange » accédaient à leur boite de réception, des annonces publicitaires apparaissaient parmi les e-mails reçus par l’utilisateur. Ces annonces publicitaires prenaient une apparence proche des véritables e-mails. Les seules différences résidaient d’une part dans la couleur de fond utilisée pour les annonces publicitaires, légèrement grisée, et d’autre part par la mention « annonce » apposée à la place de la date de réception d’un e-mail.
L’apparence de ces annonces trouve ici toute son importance quant à leur qualification et au régime juridique applicable : si ces annonces sont considérées comme de la prospection par courrier électronique, le consentement préalable des utilisateurs doit être recueilli. La CNIL, en s’appuyant sur un arrêt de la Cour de Justice de l’Union Européenne19 s’étant prononcé sur un cas de figure similaire, a considéré qu’au regard de cette apparence de « véritables e-mails », le consentement devait être recueilli, ce qui n’était pas le cas en l’espèce.
En outre, la responsabilité reposait sur ORANGE et non sur les annonceurs, puisque la société avait la maîtrise de l’affichage sur ces espaces publicitaires, qu’elle commercialisait auprès des annonceurs.
Par ailleurs, dans la continuité de la sanction à l’encontre de TAGADAMEDIA20 en décembre 2023, la CNIL s’est intéressée aux données recueillies par des data brokers et utilisées par des sociétés aux fins de prospection commerciale. FORIOU21et HUBDSIDE STORE22ont été sanctionnées par la CNIL pour avoir réalisé des opérations de prospection commerciale à partir de de données achetées auprès de data brokers et collectées sans le consentement valable des personnes concernées. Ces partenaires collectaient des données via des formulaires de participation à des jeux-concours en ligne qui, du fait de leur conception, ne permettaient pas de recueillir un consentement valide pour les opérations de prospection commerciale.
Les deux sociétés ont mis en avant les engagements contractuels conclus avec leurs data brokers visant à encadrer la responsabilité quant à la collecte d’un consentement valide. Pour autant, la CNIL rappelle ici, comme énoncé dans sa jurisprudence antérieure23, qu’il incombe au responsable du traitement de vérifier que les conditions lui permettant de réaliser ces opérations de prospection commerciale sont bien réunies, et qu’un simple engagement contractuel du partenaire collectant les données à respecter le RGPD et les règles applicables en matière de prospection commerciale ne constitue pas une mesure suffisante à cette vérification.
Les deux sociétés ont donc manqué à l’article L34-5 du CPCE, et par la même occasion à l’article 6 du RGPD, en ce que le traitement reposait sur la base légale d’un consentement illicite.
Côté data brokers, la CNIL, en plus d’infliger une amende, avait prononcé à l’encontre de TAGADAMEDIA une injonction afin de mettre en place un formulaire de collecte de données permettant de recueillir un consentement valide, a finalement clôt cette procédure d’injonction après avoir constaté la mise en conformité de la société24.
Enfin, la CNIL s’est également intéressée à la prospection commerciale réalisée à partir d’une base de données commune entre deux responsables conjoints du traitement. Les sociétés COSMOSPACE25 et TELEMAQUE26, réalisant des prestations de voyance à distance, chacune partenaire de l’autre, ont été sanctionnées pour avoir réalisé des campagnes de prospection commerciale sans obtenir le consentement valable des personnes concernées.
Chacune des sociétés recueillait les données des utilisateurs via un formulaire sur leur site web en collectant leur consentement pour les opérations de prospection commerciale de leurs partenaires mais sans mentionner l’identité de ces derniers de manière aisément accessible.
La CNIL a ainsi considéré que le consentement des personnes concernées n’était pas éclairé, et donc n’était pas valablement recueilli.
Le traitement des données sensibles fait l’objet d’encadrements supplémentaires au titre du RGPD, notamment quant à la base sur laquelle ces traitements reposent. Cette année, la CNIL a sanctionné des organismes (a) traitant des données sensibles sans recueillir le consentement explicite des personnes concernées et (b) traitant des données de santé sans autorisation préalable.
Lors du contrôle de deux sociétés proposant des prestations de voyance à distance, COSMOSPACE27 et TELEMAQUE28, la CNIL a constaté des traitements de données sensibles devant reposer sur le consentement explicite des personnes concernées sans recueillir un tel consentement.
La CNIL avait déjà retenu en 202329, que le traitement de données sensibles recueillies à l’occasion de consultations de voyance ne pouvait intervenir que sur la base du consentement explicite des personnes concernées. Dans le cas des deux sociétés précitées, les données sensibles étaient collectées de deux façons.
D’une part, les personnes ayant recours aux prestations de voyance révélaient des informations sensibles (vie sexuelle, santé, convictions religieuses etc.). Au cours des prestations, les personnes concernées n’étaient pas informées du traitement de leurs données afin de pouvoir donner leur consentement.
D’autre part, les deux sociétés proposaient sur leur site web un test de compatibilité amoureuse. Les personnes concernées devaient renseigner au sein d’un formulaire certaines informations, dont leur sexe et celui de leur partenaire. Sur ce point, la CNIL est venue rappeler un arrêt de la Cour de Justice de l’Union Européenne30 en expliquant que, si les données en cause (l’information sur le sexe des personnes) ne sont pas, par nature, des données sensibles, elles doivent cependant être considérées comme telles dès lors qu’elles sont susceptibles de dévoiler, de manière indirecte, l’orientation sexuelle de la personne concernée. Dès lors, le consentement explicite des personnes concernées est également nécessaire pour ce traitement.
En application de la Loi Informatique et Libertés, certains traitements de données de santé peuvent reposer sur le consentement explicite des personnes concernées. En l’absence de consentement explicite, ces traitements ne sont licites que s’ils reposent sur une formalité préalable de la CNIL à savoir (1) la conformité à un référentiel de la CNIL accompagné d’une déclaration de conformité audit référentiel, ou (2) une autorisation de la CNIL lorsque le traitement n’est pas conforme à un référentiel.
La CNIL a sanctionné l’éditeur de logiciel de santé CEGEDIM SANTE31 pour traitement illicite de données de santé. La société a constitué un entrepôt de données de santé sur la base de données pseudonymisées issues de dossiers patients transmis par des médecins. Le traitement des données de santé de cette société ne reposait ni sur le consentement explicite des patients, ni sur l’une des formalités préalables de la CNIL.
Le chapitre III du RGPD expose les différents droits dont disposent les personnes concernées et que les responsables sont tenus de garantir. La CNIL a constaté des manquements concernant (a) le droit d’accès et (b) l’information des personnes concernées.
Chaque année, la CNIL définit des thématiques prioritaires concernant sa politique. Pour l’année 2024, l’une des thématiques prioritaires était celle du droit d’accès des personnes concernées. Ce choix s’insère dans le cadre d’une action coordonnée du CEPD sur le droit d’accès32.
La CNIL a rendu publique une seule décision relative au droit d’accès. La société KASPR33 a été sanctionnée pour ne pas avoir fourni d’informations suffisamment précises quant à ses sources de collecte de données. Lorsque la société recevait des demandes d’informations quant aux sources de collecte des données des personnes concernées, elle répondait que les données étaient collectées à partir de sources publiquement accessibles, sans autre précision.
Pour autant, bien que KASPR n’était pas en mesure d’indiquer la source précise de la collecte des données concernant chaque personne concernée, elle était en capacité d’identifier certaines sources de collecte de données présente dans sa base de données. La CNIL considère que la société aurait dû citer les possibles sources de collecte afin d’informer les personnes concernées.
Le responsable du traitement est tenu, au titre des articles 13 (informations à fournir en cas de collecte directe des données) et 14 (informations à fournir en cas de collecte indirecte des données) du RGPD, de fournir certaines informations relatives au traitement de données des personnes concernées. En 2024, la CNIL a constaté divers manquements, tant lorsque le responsable du traitement collecte directement ou indirectement les données.
D’une part, au titre de l’article 13 du RGPD, la CNIL a sanctionné DE PARTICULIER A PARTICULIER34 pour avoir fourni une information imprécise et insuffisante à ses utilisateurs. La politique de confidentialité de la société ne fournissait pas d’information sur les bases légales de ces traitements, les destinataires des données, ou encore sur le droit des personnes concernées d’introduire une réclamation auprès de la CNIL. En outre, la politique faisait état de durées de conservation des données inexactes. Dans le même sens, une société du secteur de l’immobilier35 a manqué à l’information de ses salariés concernant leurs droits ainsi que sur les durées de conservation de données traitées dans le cadre de l’utilisation d’un logiciel de mesure du temps de travail et de suivi de la productivité.
D’autre part, au titre de l’article 14 du RGPD, les sociétés KASPR36 et HUBSIDE STORE37 ont été sanctionnées par la CNIL pour ne pas avoir fourni d’informations aux personnes concernées.
HUBSIDE STORE, lorsqu’elle réalisait des opérations de démarchage téléphonique, ne fournissait pas d’information sur le traitement de données, hormis une indication sur l’enregistrement de la conversation téléphonique et la possibilité de s’inscrire sur Bloctel. S’il n’est pas exigé de fournir toutes les informations listées à l’article 14 du RGPD au cours de la conversation téléphonique, le responsable du traitement est tenu de fournir un moyen aux personnes concernées d’obtenir une information plus complète ultérieurement, comme le rappellent les lignes directrices du G29 sur la transparence au sens du RGPD38.
Concernant KASPR, la CNIL a relevé que jusqu’en mai 2022, soit pendant près de 4 ans, la société ne fournissait aucune information quant aux traitements de données des « personnes cibles ». A compter de cette date, KASPR a adressé aux personnes cibles un email d’information sur le traitement de leurs données, mais celui-ci était rédigé en anglais. La CNIL a considéré que cette information n’était pas valable car les personnes concernées ne maitrisant pas cette langue ne pouvait être en mesure de comprendre le traitement de leurs données.
Les autorités de protection des données sont particulièrement vigilantes sur la langue utilisée pour informer les personnes concernées. En 2023, la CNIL avait déjà sanctionné une société qui fournissait une politique de confidentialité uniquement en anglais39. L’autorité de protection des données néerlandaises, que la CNIL cite dans sa délibération à l’encontre de KASPR, avait également sanctionné UBER40 en lui rappelant qu’un responsable du traitement a la responsabilité de traduire les informations fournies aux personnes concernées dont les données sont traitées dans une langue qu’ils comprennent, et qu’il n’est pas possible de préjuger le niveau d’anglais des personnes concernées.
Enfin, l’article 12 du RGPD pose les conditions selon lesquelles le responsable du traitement doit fournir les informations visées aux articles 13 et 14 aux personnes concernées. Les informations doivent notamment être fournies de façon aisément accessible. Cet article prévoit la possibilité de fournir ces informations à l’oral, mais uniquement si la personne concernée en fait la demande. Une société du secteur de l’immobilier41 a ainsi été sanctionné pour avoir fourni des informations concernant un traitement de données de ses salariés oralement alors que ceux-ci ne l’avaient pas demandé. En outre, aucun support écrit ne permettait de consulter ces informations ultérieurement, si bien que la condition d’accessibilité de l’information au titre de l’article 12 n’était pas satisfaite.
Le Chapitre IV du RGPD impose une série d’obligations de conformité règlementaire aux entités qualifiées de responsable du traitement ou de sous-traitant. La CNIL a prononcé plusieurs sanctions pour des manquements relatifs à (a) l’encadrement contractuel de la sous-traitance ou encore (b) concernant l’obligation de nommer un délégué à la protection des données.
En application de l’article 28 (3) du RGPD, le traitement effectué par un sous-traitant pour le compte d’un responsable du traitement doit être régi par un contrat. Certaines clauses doivent obligatoirement figurées au sein de ce contrat.
Sur ce point, la CNIL a constaté l’absence de certaines mentions exigées par l’article 28 concernant un contrat conclu entre la société DE PARTICULIER A PARTICULIER42 et l’un de ses sous-traitants. Si la société a ultérieurement au contrôle de la CNIL conclu un avenant disposant de toutes mentions requises, l’autorité a sanctionné le responsable du traitement pour un manquement pour le passé.
L’article 37 du RGPD impose à certains responsables du traitement et sous-traitants de désigner un délégué à la protection des données (« DPD »).
Tel est le cas par exemple pour les traitements effectués par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle. Une commune de Guyane, KOUROU43 , a fait l’objet de plusieurs sanctions avant de procéder à la nomination d’un DPD. La commune a été sanctionnée à deux reprises en 2023 en ce sens, par deux amendes administratives assorties d’une injonction sous astreinte.
En février 2024, la CNIL a liquidé l’astreinte, la commune n’ayant toujours pas désigné un DPD. L’autorité a finalement prononcé la fermeture de la procédure d’astreinte en novembre 2024 après la nomination d’un DPD par la commune.
L’article 32 du RGPD impose aux responsables du traitement et aux sous-traitants de mettre en place des mesures techniques et organisationnelles permettant d’assurer la sécurité des données à caractère personnel. De telles mesures ont notamment vocation à empêcher l’accès par des tiers non autorisés aux données.
Ces mesures de sécurité concernent notamment la protection de l’accès aux espaces d’un compte utilisateur d’un service en ligne en adoptant une politique de mots de passe suffisamment robuste. Depuis 2017, la CNIL recommande de recourir à des mots de passe composés au minimum de 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux. L’utilisation de mots de passe d’un minimum de 8 caractères avec 3 catégories de caractères différentes peut également présenter un caractère de protection suffisant si le recours à ces mots de passe est accompagné d’une mesure complémentaire telle que la mise en place d’un mécanisme de captcha, ou encore la suspension temporaire voire le blocage d’accès au compte utilisateurs après plusieurs tentatives d’authentification infructueuses.
La société DE PARTICULIER A PARTICULIER44a été sanctionnée par la CNIL pour sa politique de mots de passe. D’une part, les utilisateurs pouvaient créer un mot de passe d’un caractère unique pour l’accès à leur compte. D’autre part, un utilisateur avait la possibilité de déposer une annonce sur le site de la société sans créer un compte utilisateur. Dans un tel cas de figure, une référence était attribuée à cette annonce pour permettre à l’utilisateur d’accéder à l’annonce et à l’espace associé lui permettant d’y porter des modifications ou encore de consulter ses conversations avec les personnes intéressées par son annonce. Cette référence était composée de 10 caractères, dont 7 étaient publics (correspondant à la référence publique de l’annonce). Cette référence permettant d’accéder à l’espace associé à l’annonce est assimilé à un mot de passe, qui ne disposait donc que de 3 caractères alphanumériques. La CNIL a ainsi considéré que ces pratiques ne constituaient pas des mesures permettant d’assurer la sécurité des données à caractère personnel. En outre, les mots de passe et références étaient stockés en clair au sein de la base de données de la société, sans mesures de chiffrement.
Authored by Etienne Drouard, Rémy Schlich, and Augustin Lacroix.
References