La CNIL a prononcé quinze nouvelles sanctions dans le cadre de la procédure simplifiée depuis janvier 2024
Prospection politique, missions et ressources des délégués à la protection des données, sécurité des données, coopération avec la CNIL ou respect des droits des personnes : la CNIL poursuit le développement de ses actions répressives avec quinze nouvelles sanctions dans le cadre de sa procédure simplifiée.
Depuis janvier 2024, la CNIL a rendu quinze nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée pour un montant total de 98 500 euros. Par comparaison, sur l’ensemble de l’année 2023, la CNIL a prononcé 24 décisions de ce type.
Les principaux manquements retenus sont :
- un manquement relatif aux missions et ressources du délégué à la protection des données ;
- un défaut de coopération avec la CNIL ;
- un défaut de sécurité des données (utilisation du protocole TLS et suites cryptographiques ) ;
- un non-respect des droits des personnes (exercice des droits d’effacement et d’opposition et du droit d’accès à un dossier médical) ;
- un manquement à l’information en matière de prospection politique ;
- un manquement aux obligations du sous-traitant.
Qu’est-ce que la procédure simplifiée ?
Contrairement à la procédure ordinaire, les modalités de mise en œuvre de la procédure simplifiée sont plus légères : le président de la formation restreinte (ou un membre qu’il désigne) statue seul et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu.
Les sanctions pouvant être prononcées sont une amende d’un montant maximum de 20 000 €, une injonction avec astreinte plafonnée à 100 € par jour de retard ou un rappel à l’ordre. Les noms des organismes concernés ne peuvent pas être rendus publics.
Cette procédure permet à la CNIL de prendre rapidement des mesures pour des dossiers ne présentant pas de difficulté particulière.Un manquement aux missions et ressources du délégué à la protection des données
Un organisme n’avait pas associé son délégué à la protection des données (DPO) aux réunions intéressant la protection des données et la sécurité des systèmes d’information.
Or, les DPO ont pour mission d’informer et conseiller le responsable de traitement sur ses obligations légales et d’en contrôler le respect (article 39 RGPD). Ils doivent donc être associés aux échanges qui concernent la protection des données personnelles.
En outre, les coordonnées et les missions du DPO n’avaient fait l’objet d’aucune communication auprès des employés depuis plusieurs années. Enfin, le DPO n’avait pas accès à la messagerie du site internet de l’organisme permettant aux personnes concernées d’exercer leurs droits. Il n’était donc pas en mesure d’accomplir correctement ses missions, ce qui a conduit la CNIL à prononcer une amende contre l’organisme.
Un manquement à l’information en matière de prospection politique
Dans le cadre d’une campagne de prospection électorale effectuée pendant les élections présidentielles et législatives de 2022, une association à caractère politique a manqué à ses obligations en matière d’information des personnes.
En particulier, l’information prévue par les articles 12, 13 et 14 du RGPD et devant figurer sur les différents sites de communication politique édités par l’association n’était pas transparente : elle était soit absente de la plupart des sites, soit incomplète.
De plus, dans le cadre d’opérations de prospection électorale, les messages vocaux de prospection politique et les SMS, courriers postaux ou électroniques envoyés ne contenaient pas systématiquement d’information relative à l’exercice des droits des personnes, et en particulier la possiblité d’exercer son droit d’opposition. Or, les candidats à une élection ou les partis doivent correctement informer les personnes, et peuvent s’inspirer du modèle proposé par la CNIL.
La CNIL a prononcé une amende contre cette association politique.
Un défaut de sécurité des données personnelles
Plusieurs organismes avaient fait l’objet d’une mise en demeure portant sur la mise en conformité de leurs sites web car ils n’utilisaient pas de versions du protocole TLS récentes et exemptes de vulnérabilité ni de suites cryptographiques conformes à l’état de l’art.
La CNIL a procédé, à l’issue du délai de mise en conformité indiqué dans les mises en demeure, à des vérifications sur les sites web des organismes qui, pour certains, n’étaient toujours pas conformes.
Une procédure de sanction simplifiée a été engagée et la CNIL a prononcé des amendes à l’égard de ces organismes qui continuaient à utiliser :
- le protocole TLS 1.0 ou 1.1, alors que ces deux versions sont à proscrire selon le guide relatif au protocole TLS de l’Agence nationale de la sécurité et des systèmes d’informations (ANSSI),
- la fonction de hachage SHA-1 qui n’est plus considérée comme sûre, car elle ne permet pas de garantir l’intégrité et la confidentialité des données lors de leur transmission entre le serveur et le navigateur de l’utilisateur.