Décisions de la CNIL : de lourdes sanctions contre des professionnels
Données personnelles : des erreurs coûteuses
En France, la Commission nationale de l’informatique et des libertés (CNIL) est l’autorité administrative compétente pour veiller à ce que les réglementations européennes et nationales en matière de protection des données à caractère personnel soient respectées.
Pour ce faire, elle informe, enquête mais aussi sanctionne en cas de manquements graves. À ce titre, 2 sociétés ont reçu d’importantes amendes après que la CNIL a constaté de nombreuses violations des règles applicables.
Ces sociétés, un fournisseur d’énergie et un gestionnaire de plateforme de discussion en ligne, ont respectivement écopé d’une amende de 600 000 € et 800 000 €, la CNIL ayant notamment constaté les manquements suivants :
- défaut de recueil du consentement des personnes intéressées pour l’utilisation de leurs données à des fins de prospections commerciales ;
- défaut d’information des personnes sur leurs droits et sur l’exercice de ces droits (accès aux données, opposition à leur traitement) ;
- absence de définition et de limitation de la durée de préservation des données ;
- absence de réalisation de l’analyse d’impact obligatoire du fait de l’important volume de données traitées ;
- sécurité insuffisante des données traitées.
Pour fixer le montant des amendes, la CNIL prend en compte la gravité des manquements, leurs durées, la nature des données concernées mais aussi, la coopération de l’entreprise visée.
Notez que les amendes peuvent au maximum atteindre 20 M€ ou 4 % du chiffre d’affaires annuel mondial d’une entreprise.
- Communiqué de la CNIL du 17 novembre 2022 : « Sanction de 800 000 euros à l’encontre de la société DISCORD INC. »
- Communiqué de la CNIL du 29 novembre 2022 : « Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre d’EDF »