7 min read ♨️ ♨️ Intermédiaire

Les sanctions de la CNIL - Au 1er semestre 2024

Cet article est de niveau ♨️♨️ Intermédiaire : les bases des règles de protection des données personnelles ne sont pas expliquées, de même que la procédure. Certains contenus (liste des sanctions et chiffres, notamment) restent toutefois accessibles sans prérequis.

Guide de lecture
Ce blog a été créé avec l’ambition de pouvoir exprimer le point de vue de sa créatrice et des auteurs-contributeurs sur les enjeux, les connaissances-clés et l’actualité concernant la sécurité de l’information et la protection des données personnelles. Les thématiques des publications sont bien sûr choisies en
Mamori DataJoëlie

🟣 Je ne sais pas vous, mais de mon côté, vu la vitesse à laquelle tout se déroule en ce moment, j’ai du mal à croire que l’on soit déjà à moins de six mois du prochain Privacy Day ! (Oui, bon, chacun ses références… ) Heureusement, l’été s’installe enfin (si, si, c’est léger mais ça arrive), les premiers départs en vacances commencent à vider les bureaux, et on s’accorde quelques minutes pour souffler un peu après la frénésie du mois de juin.

Ça tombe bien, on a tout juste le temps de faire un petit point d’étape sur l’actualité cyber et RGPD de la première moitié de l’année. Je profite du lancement de ma nouvelle série d’articles de blog « En bref » pour passer en revue avec vous plusieurs volets de l’actualité de ce début d’année, et on commence avec l’action répressive de la CNIL.

Vous noterez l’absence de la sanction toute récente de Vinted. D’une part, car c’est l’autorité Lituanienne qui a sanctionné, et non la CNIL ; d’autre part, car la sanction date de juillet, elle est donc hors délai.

Vous voulez savoir à quelle sauce on se fait manger cette année (surtout quand on est une petite structure) et vous informer sur les tendances des sanctions, mais n’avez pas plus de 5min à y consacrer et voulez aller à l’essentiel… cet article est fait pour vous ! Les sanctions de la CNIL au premier semestre 2024 en moins de 1 000 mots… c’est parti !

… Alors, côté CNIL, quoi de neuf ? De nouvelles jurisprudences à se mettre sous la dent pour consolider notre arsenal de mise en conformité au RGPD ? Et bien, peu de décisions publiques pour l’instant (trois en tout), mais une tendance se dégage : celle du recours croissant à la procédure simplifiée ! Allez, je vous débriefe tout ça…

Les sanctions rendues en procédure ordinaire

🟣 L’activité répressive « classique » de la CNIL (c’est-à-dire en suivant la procédure ordinaire et en rendant des sanctions publiques) suit son rythme habituel, avec peu de sanctions publiées au premier semestre 2024.

📊
Trois sanctions ont été prononcées, pour un montant d’amendes cumulées de 935 000 €.

Pour comparer un peu ces chiffres avec les années précédentes à la même période, on peut dire que 2024 est dans la moyenne haute en nombre de sanctions. En montant cumulé d’amendes, par contre, on a quand-même vu quelques grosses sanctions à la même période dans les années précédentes (notamment les 50 millions de Google en 2019 et les 40 millions de Criteo l’année dernière), donc on reste en-dessous pour le premier semestre 2024.

Les trois sociétés sanctionnées ont été De Particulier à Particulier, Foriou et Hubside.Store. Je vous résume chaque sanction ci-dessous.

PAP

  • Cette plateforme de mise en relation pour des recherches de logement est très connue du grand public et est même implantée ailleurs en Europe (ce qui a rendu applicable la procédure du guichet unique, au passage).
  • Délibération : le 31 janvier (le premier contrôle s’était déroulé le 2 mars 2022, il y a donc eu presque 2 ans entre les deux).
  • C’est la moins élevée des trois amendes : 100 000 €.
  • Quatre manquements ont été constatés, relatifs…
    • Aux durées de conservation.
    • A l’information préalable.
    • Aux relations avec un sous-traitant de données personnelles.
    • A la sécurité des données.
  • Ce n’est pas le plus courant, donc j’ai noté que sur un point, la CNIL a étudié un manquement proposé par la rapporteure et a estimé qu’il n’était pas constitué : celui relatif à la prospection commerciale par voie électronique.

Foriou

  • Personnellement, je ne connaissais pas du tout cette société avant de lire la délibération de la CNIL. Elle commerciale des programmes fidélité, et a eu recours pour cela (pendant un temps) à des campagnes de démarchage téléphonique, en achetant ses listes de prospects à des data brokers.
  • Délibération : le 31 janvier (mais le premier contrôle s’était cette fois déroulé le 23 septembre 2021, il y a donc eu presque 2 ans et demi entre les deux).
  • L’amende s’élève à 310 000 €.
  • Un seul manquement est constaté : l’absence de liciété du traitement de données personnelles.
  • Un manquement intéressant était soulevé par la rapporteure, à propos de l’absence d’archivage et d’adaptation au besoin d’en connaître (sur la base de l’obligation de sécurité) mais la formation restreinte a estimé que le dossier n’était pas assez etayé sur ce point.

Hubside.Store

  • Le cas est assez proche de celui de Foriou : la société réalisait de la prospection commerciale (mais par voie électronique ici) en achetant des données à des data brokers. D’ailleurs, au passage, ces deux sociétés font partie de SFK Group.
  • Délibération : le 4 avril (avec un premier contrôle en même temps que Foriou, ce qui allonge la durée à plus de 2 ans et demi entre les deux).
  • C’est l’amende la plus élevée des trois, atteignant 525 000 €.
  • Trois manquements sont constatés ici :
    • Manque de base légale.
    • Manque d’information.
    • Et surtout, le plus intéressant : les data brokers fournissant les listes de prospects à Hubside.Store n’obtenaient pas le consentement valide des personnes. C’est donc cette dernière, qui n’a pas réalisé de contrôle en ce sens, qui est sanctionnée à ce titre.

L’usage de la procédure simplifiée

🟣 Si vous avez besoin d’un rappel express sur la procédure simplifiée : mise en place en 2022, elle permet à la CNIL de sanctionner des cas simples et à faibles enjeux de façon plus expéditive, avec une procédure écrite et en plafonnant les amendes prononcées à 20 000 €.

On commence ici aussi par quelques chiffres sur le premier semestre 2024.

📊
24 sanctions ont été rendues, pour un montant d’amendes cumulées de 181 500 €.

La comparaison avec l’année dernière ne se fait pas dans la dentelle, puisque sur la totalité de 2023, 24 sanctions avaient été rendues en application de cette procédure, contre le même nombre sur la première moitié 2024. Si l’on n’est pas à l’abri d’un ralentissement pendant le deuxième semestre, l’évolution reste impressionnante ! On peut faire quasiment le même constat pour le montant d’amendes cumulées, pour lequel l’année dernière avait totalisé 222 300 € pour l’application de cette procédure simplifiée.

Dans la liste des manquements sanctionnés, on trouve :

  • Des (malheureusement) classiques : défaut de sécurité, non-respect des droits des personnes, manquement à l’information, à la minimisation et concernant les cookies.
  • Des manquements que l’on voit de plus en plus souvent : traitements illicites, manque d’encadrement des sous-traitants, non-respect des obligations liés au DPO.
  • Un manquement plus rarement constaté ces derniers temps, mais pas nouveau : défaut de coopération avec la CNIL.

La liste comportant les secteurs d’activité des entités sanctionnées n’est pas encore disponible pour 2024, mais si l’on reste dans la tendance précédente, il s’agira surtout de petits commerces, de prestation intellectuelle (dans l’informatique, la communication, mais aussi la médecine ou le droit par exemple), de communes et associations…

En termes d’approche par les risques, cette procédure simplifiée rend le sujet beaucoup plus concret pour les TPE et PME. Elle augmente déjà significativement les probablitiés d’être visé par une sanction si des non-conformités sont constatées lors d’un contrôle... Mais en plus, on voit que son utilisation est de plus en plus fréquente.

🟣 Et voilà, l’action répressive de la CNIL ces six derniers mois, en moins de 1 000 mots !Bon, j’ai dû survoler plein de choses hyper intéressantes, mais je pense que j’ai couvert ce que je voulais. Merci de m’avoir lue en tout cas, et j’espère que ça vous aura éclairé(e) sur la situation actuelle au niveau des risques juridiques liés à la protection des données personnelles !

Si vous avez aimé cet article, et le concept de la série « En bref » de Mamori Data, suivez-moi sur LinkedIn pour être au courant dès que d’autres sortiront !

📌 Suivez-moi sur LinkedIn !

🎉 PS et btw, on a aussi fêté les 6 mois de Mamori Data en juin !

🎊 J’en profite pour remercier mes premiers clients (si vous passez par là) : merci d’avoir fait le choix de me faire confiance dès le départ, c’est littéralement grâce à vous que Mamori est une entreprise et pas juste une idée dans un coin !

Et un grand merci à toutes les personnes qui m’aident professionnellement et me soutiennent amicalement depuis le début de cette aventure : je peux m'épanouir dans cette nouvelle entreprise et contribuer à rendre le (cyber) monde meilleur grâce à vous !

📚 Les sources, c’est par là !

Sanction de PAP [[https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049128617](lien)]

Sanction de Foriou [[https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049231950](lien)]

Sanction de Hubside.Store [[https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049382214](lien)]

Annonce des sanctions en application de la procédure simplifiée (première vague [[https://www.cnil.fr/fr/la-cnil-prononce-quinze-nouvelles-sanctions-dans-le-cadre-de-la-procedure-simplifiee-depuis-janvier](lien)] et deuxième vague[[https://www.cnil.fr/fr/la-cnil-prononce-neuf-nouvelles-sanctions-procedure-simplifiee](lien)])

Rapport annuel de la CNIL sur son activité en 2023 [[https://www.cnil.fr/sites/cnil/files/2024-04/cnil_44e_rapport_annuel_2023.pdf](lien)]

Joëlie

Joëlie

🎐 Entrepreneure lyonnaise, j'aide les professionnels à maîtriser les risques liés aux traitements de l'information. ✨
Lyon, France