samedi 23 décembre 2023
Le Règlement général sur la protection des données (RGPD) encadre le règlement des données personnelles sur le territoire de l’Union européenne. Ce nouveau règlement européen s’inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978. Il renforce le contrôle par les citoyens de l’utilisation qui peut être faite de données les concernant. Il harmonise les règles en Europe.
En cas de manquements au RGPD ou à la loi Informatique et Libertés, la formation restreinte de la CNIL (commission nationale de l’informatique et des libertés) est le régulateur des données personnelles :
En janvier 2023, la CNIL a présenté le bilan annuel de son action répressive de 2021 et 2022. Les tendances de 2021 sont confirmées en 2022, tant par le nombre de mesures adoptées (21 sanctions et 147 mises en demeure), que par le montant cumulé des amendes, qui dépasse à nouveau les 100 millions d’euros. L’année 2022 a également été marquée par une réforme importante des procédures correctrices.
Dans le détail, en 2022, 21 sanctions ont été prononcées par la CNIL, pour un montant de 101 277 900 euros. 13 d’entre elles, ont été rendues publiques :
Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers : parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la CNIL.
La CNIL a également adopté 3 décisions en coopération avec ses homologues européens, dans le cadre du budget unique prévu par le RGPD.
En 2022, 147 mises en demeure et de nombreuses mises en conformité : un nombre record de mises en demeure, ordonnant à un organisme de se mettre en conformité dans un délai fixé. 22 décisions à l’encontre de communes n’ayant pas désigné de DPO (délégué à la protection de données) ont été rendues publiques et 5 ont été adoptées dans le cadre de la coopération européenne.
Ces mises en demeure ont concerné des secteurs et des problématiques variés : elles ont porté sur la prospection commerciale, sur le transfert des données vers les États-Unis ou encore sur les mesures de sécurité de sites web.
Les principales sanctions prononcées en 2023
– Défaut de coopération avec la CNIL, non-respect du droit à l’effacement (amende de 5 000 euros et injonctions).
– Pour les communes, défaut de désigner un délégué à la protection des données (amende de 3 000 euros).
– Société de location de Scooters électriques en libre-service : non-respect du principe de minimisation des données entre le responsable de traitement et le sous-traitant (amende de 15 000 euros).
– Société d’aide à domicile pour les personnes âgées : conformité tardive en matière d’anonymisation des données (astreinte de 10 000 euros).
– Société éditant un logiciel de reconnaissance faciale, absence de réponse à l’injonction. Liquidation de l’astreinte de 5 200 000 euros.
– Chirurgien-dentiste : non-respect du droit d’accès, défaut de coopération avec la CNIL (amende de 4 500 euros et injonction).
– Société de transport de fret aérien : minimisation des données à caractère personnel, collecte ou traitement de données relatives aux infractions, aux condamnations et aux mesures de sureté, défaut de coopération avec la CNIL (amende de 200 000 euros).
– Société ayant pour activité le développement et la mise en œuvre de logiciels de surveillance des employés : défaut de coopération avec la CNIL (amende de 20 000 euros).
Dans ces 10 décisions de procédure simplifiée, deux sujets ressortent particulièrement, l’enregistrement de la géolocalisation des véhicules de salariés sans leur consentement et la vidéosurveillance des salariés qui filme, de manière constante, les salariés à leur poste de travail. La CNIL rappelle que c’est une atteinte excessive à la liberté d’aller et venir et au droit à la vie privée des salariés.
Références