Nouvelle sanction de la CNIL pour infraction au RGPD
Deux manquements au RGPD = une sanction de 250 000 €
Saisie d’une plainte, la Commission nationale de l’informatique et des libertés (CNIL) a contrôlé le site web d’une entreprise. Elle y a constaté des infractions au Règlement général sur la protection des données (RGPD). Celles-ci sont de deux types :
- un manquement relatif à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement ;
- un manquement relatif à l’obligation d’assurer la sécurité des données personnelles.
L’entreprise prévoyait, d’une part, une durée de conservation des données personnelles des membres et abonnés de 36 mois à compter de la dernière commande passée sur le site. La CNIL a constaté que les données de 25 % des utilisateurs étaient conservées au-delà de cette durée.
D’autre part, la CNIL a également constaté que l’entreprise n’imposait pas l’utilisation d’un mot de passe robuste dès la création d’un compte, et que cela n’était pas plus possible par la suite.
Sur la base de ces constatations, elle a considéré que l’entreprise n’avait pas pris de mesures suffisantes pour garantir la sécurité des données des membres et des utilisateurs du site. Elle a en conséquence infligé une amende de 250 000 euros à l’entreprise.
- Publication de la Commission nationale de l’informatique et des libertés du 13 septembre 2022