La Cnil a prononcé une sanction d’1 million d’euros d’amende à l’égard de la société Total Energies électricité et gaz France pour violation des obligations en vigueur en matière de prospection commerciale et de droits des personnes [1].
Dans une décision du 27 juin 2022[1], le Conseil d’Etat confirme la sanction de 35 millions d’euros prononcée par la Cnil en 2020 à l’encontre de la société de commerce en ligne Amazon pour manquements relatifs aux cookies.
Le décret du 8 avril 2022 met en application l’optimisation des procédures de sanction de la Cnil prévue par la loi du 24 janvier 2022 venue modifier la loi du 6 janvier 1978.
Une loi est venue simplifier les procédures de mise en demeure et de sanction de la Cnil afin de fluidifier le traitement des plaintes.
Cookies publicitaires : la Cnil prononce une sanction de 50 000 euros à l’encontre d’un média (Délib. SAN-2021-013 du 27 juillet 2021).
La Cnil vient d’annoncer les premières mises en demeure : elles concernent une vingtaine d’organismes.
«Jurisprudence Données personnelles 2018-2020 (Décisions tendances)», premier ouvrage édité par Lexing Editions commentant la jurisprudence post-RGPD en matière de sanctions, paraîtra le 16 mars prochain.
Frédéric Forster évoque pour E.D.I. Magazine la gestion de la relation client à l’aune de la décision de la Cnil de sanctionner Google.
Le cabinet organise le 15 mai 2019 un petit-déjeuner débat intitulé : « La jurisprudence de la Cnil depuis l’entrée en application du RGPD », animé par Virginie Bensoussan-Brulé.
La Cnil a condamné la société Uber à payer une amende de 400 000 euros en raison d’un manquement à l’obligation de sécurité des données personnelles. Violation par la société Uber des exigences de protection des données Le 19 décembre 2018, la Commission nationale de l’informatique et des libertés (Cnil), réunie en sa formation restreinte, a sanctionné la société de service de transport Uber pour manquement à ses obligations, conformément à la réglementation sur la protection des données à caractère personnel (1). En novembre 2017, la société Uber avait admis avoir fait l’objet d’un piratage informatique, un an auparavant, à l’occasion duquel les données de 57 millions d’utilisateurs avaient été dérobées. Les données concernées par ces attaques sont les nom, prénom, adresse de courrier électronique, ville ou pays de résidence, numéro de téléphone mobile et statut des utilisateurs (conducteur, passager ou les deux). La société Uber, au courant de cette attaque un an auparavant, avait décidé de payer la somme de 100 000 dollars aux attaquants, afin qu’ils ne révèlent pas cette faille à leurs utilisateurs et qu’ils suppriment les données dérobées. Les données des utilisateurs concernant, non seulement des utilisateurs français, mais également d’autres Etats membres de l’Union européenne, le groupe des Cnil européennes s’est réuni pour enquêter sur les raisons de cette attaque. Manquement à l’obligation d’assurer la sécurité et la confidentialité des données L’enquête menée par les Cnil européennes a révélé que l’attaque aurait pu être évitée si certaines mesures de sécurité avaient été mises en place. La Cnil a ainsi condamné la société Uber pour ne pas avoir suffisamment sécurisé les données de ses utilisateurs. L’attaque trouve son origine sur la plateforme GitHub, plateforme de travail privée utilisée par les ingénieurs logiciels chez Uber et sur laquelle leurs identifiants étaient stockés en clair. Le nom d’utilisateur était ainsi composé de leur email personnel, accompagné d’un mot de passe individuel. Les attaquants ont ainsi utilisé ces identifiants pour se connecter à la plateforme GitHub sur laquelle ils ont trouvé une clé d’accès en clair permettant d’accéder à la plateforme d’hébergement sur laquelle étaient stockés les données à caractère personnel des utilisateurs de Uber. Cette clé a également permis aux attaquants d’accéder aux bases de données de la société Uber et ainsi de dérober les données personnelles de 57 millions d’utilisateurs. La formation restreinte de la Cnil relève, dans sa délibération n°SAN-2018-011 du 19 décembre 2018, que l’accès aurait dû être encadré par des règles de sécurité adéquates, tant au regard des mesures d’authentification que des retraits d’habilitation des anciens ingénieurs, actions non mises en place par la société Uber. Enfin, la formation restreinte de la Cnil considère que la sécurisation de la connexion aux serveurs « Amazon Web Services S3 » constitue une précaution élémentaire et qu’un filtrage des adresses IP aurait permis d’éviter ces connexions illicites. Condamnation par la Cnil et publication de la décision Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvait en France. Parmi eux se trouvaient 1,2 million de passager et 163 000 conducteurs. En raison de son manquement à son obligation de sécuriser ces données, la Cnil a condamné la société Uber France SAS à la somme de 400 000 euros d’amende et a publié la décision. Les faits s’étant produits avant l’entrée en application du Règlement général sur la protection des données (RGPD), les sanctions prévues à l’article 83 du RGPD ne sont pas applicables en l’espèce. A l’époque des faits s’appliquait la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi informatique et libertés, modifiée par la loi n°2016-1321 du 7 octobre 2016 pour une République numérique. En effet, la formation restreinte de la Cnil rappelle que le manquement concerné est un manquement continu qui s’est prolongé après le 7 octobre 2016, date d’entrée en vigueur de la loi pour une République numérique. L’article 34 de la loi du 6 janvier 1978 modifiée dispose ainsi que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès. La société Uber a alors manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel des utilisateurs de son service. En raison du nombre important de personnes concernées par cette violation de données, la Cnil a également décidé de rendre la sanction publique. En effet et par ce moyen, la Cnil entend sensibiliser les responsables du traitement sur les points ayant fait défaut à la société Uber. Autres condamnations en Europe Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvaient en France et les autres se trouvaient en dehors du territoire français. Le 6 novembre 2018, l’autorité néerlandaise de protection des données a sanctionné la société Uber d’une amende de 600 000 euros pour avoir manqué à son obligation de notifier la violation de données. En effet, le piratage des données a eu lieu un an avant que la société Uber en informe les autorités compétentes. La société Uber avait fait le choix de payer les attaquants afin de dissimuler l’attaque. L’obligation de notifier à la Cnil française n’est apparue qu’avec le RGPD et n’a donc pas fait l’objet de sanction en France en l’espèce, les faits étant intervenus avant l’entrée en application du RGPD. Le 26 novembre 2018, l’autorité britannique a sanctionné la société Uber d’une amende de 385 000 livres, soit 426 000 euros, pour avoir manqué à son obligation de sécuriser les données. Virginie Bensoussan-BruléDebora CohenLexing Contentieux numérique (1) Cnil, Délib. SAN-2018-011 du 19-12-2018
La publicité des décisions de la Cnil n’est pas systématique. Quelles sont les motivations qui l’amènent à la publication
En cas de violation de la loi Informatique et libertés, sont prévues des sanctions Cnil à l’encontre des entreprises.
Le rapport du 22 février 2017 de l’Assemblée nationale (1) prépare l’application du règlement européen
La loi pour une République numérique modifie la loi Informatique et libertés concernant les sanctions
Une société de déstockage de mode a été sanctionnée par la Cnil à 30 000 € d’amende pour divers manquements.
La Cnil a infligé à Google Inc une amende de 150 000 euros pour plusieurs manquements à la loi Informatique et Libertés, notamment la non conformité de sa politique de confidentialité et la collecte déloyale de données personnelles (1).
La société Google Inc. est sous le coup d’une procédure de sanction engagée par la Cnil pour défaut de conformité à sa mise en demeure du 20 juin 2013. Dans sa décision du mois de juin, la présidente de la Cnil rappelait que, suite à l’annonce de Google de modifier ses règles de confidentialité à compter du 1er mars 2012, le groupe de l’article 29 avait souhaité analyser ces nouvelles règles au regard des dispositions relatives à la protection des données à caractère personnel.
La Cnil sanctionne l’ absence de réactivité à ses lettres de mises en demeure. Elle a récemment eu l’occasion de rappeler que ses courriers et lettres de mise en demeure ne doivent pas rester lettre morte. La formation contentieuse de la Commission a ainsi sanctionné d’un avertissement une agence immobilière à qui elle avait adressé plusieurs courriers, dont la plupart étaient demeurés sans réponse. L’absence de réactivité et le caractère succinct de la réponse du service juridique de l’organisme, suite au quatrième courrier, a engendré le prononcé d’une sanction de la Commission, marquant ainsi le fait qu’il ne s’agit pas de simples observations à titre indicatif et que ses demandes doivent faire l’objet d’une attention toute particulière. Il convient donc que les organismes objets de demande spécifique de la Cnil fassent preuve de réactivité dans leur réponse et que celle-ci soit complète, circonstanciée et intervienne dans un délai raisonnable. Cnil, rubrique Actualité, article du 6 décembre 2011
La Cnil a sanctionné une société proposant un service d’annuaire sur internet permettant d’ajouter aux résultats obtenus sur une personne déterminée les données personnelles collectées sur des réseaux sociaux. Le but poursuivi est que les profils des personnes portant le même patronyme s’affichent au surplus des coordonnées référencées dans l’annuaire. Saisie par des plaintes de particuliers ayant souhaité exercer leur droit d’opposition, le président de la Cnil a ordonné une mission de contrôle sur place ayant donné lieu à la désignation d’un rapporteur afin d’engager, à l’encontre de la société, une procédure de sanction. Les profils publics sur les réseaux sociaux Dans sa délibération, la formation restreinte de la Cnil retient, tout d’abord, qu’en se livrant à un recueil massif, répétitif et indifférencié de données sur des profils personnels affichés sur internet sans en avoir préalablement informé les personnes, la société procédait à une collecte ne répondant pas à la condition de loyauté posée par la loi Informatique et libertés, et contrevenait à l’obligation d’information des personnes concernées. Elle ajoute également que la pratique consistant à extraire des données de son annuaire, aux fins de filtrage des informations recueillies sur les réseaux sociaux, pour s’assurer que les données recueillies correspondent à des adresses de personnes résidant en France, constitue un détournement de la finalité de l’annuaire, et est comme tel illicite. Les manquement reprochés Enfin, la formation restreinte retient, à l’encontre de la société proposant ses services d’annuaire en ligne, plusieurs autres manquements aux dispositions relatives à la protection des données à caractère personnel, tels que : le non-respect de l’obligation de mise à jour des données, les demandes de modification ou de rectification adressées aux réseaux sociaux n’ayant pas été prises en compte par la société d’annuaire dans des délais satisfaisants ; le non-respect des droits des personnes concernées, notamment de leur droit d’opposition et de rectification, considérant que les procédures instaurées pour que les personnes puissent faire valoir leurs droits n’étaient pas conformes aux dispositions applicables ; le non-respect de l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées du fait de la collecte des adresses IP associées aux contenus, date et heure des requêtes effectuées sur le portail. La formation restreinte a alors prononcée à l’encontre de la société concernée un avertissement qu’elle a décidé de rendre public. Cette délibération est susceptible d’un recours de plein contentieux devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification au responsable du traitement. Cnil, délibération n° 2011-203 du 21-9-2011
La Cnil a récemment fait usage de son pouvoir de sanction à l’encontre d’une société ayant procédé à des opérations de prospection commerciale par fax sans s’être conformée aux dispositions légales applicables en la matière.
Les sociétés faisant de la prospection commerciale par télécopie doivent avoir recueilli préalablement le consentement des personnes démarchées. C’est en effet ce qu’a rappelé la Cnil dans une délibération portant sanction à l’encontre d’une société qui avait envoyé des milliers de fax sans l’accord des prospects.
La Cnil a prononcé une sanction pécuniaire à l’encontre d’un établissement bancaire à la suite d’une plainte concernant l’inscription d’un de ses clients au Fichier national des incidents de remboursement des crédits aux particuliers (FICP) plus de seize ans après la survenance de l’incident de paiement.
La loi Informatique et libertés confère à la Cnil le pouvoir de prononcer une sanction pécuniaire proportionnée à la gravité des manquements commis ou aux avantages tirés du manquement. La sanction peut atteindre 150 000 à 300 000 euros selon les cas (art. 45).
Saisie d’une plainte attirant son attention sur les pratiques d’une étude d’huissiers de justice qui enregistrait de nombreuses informations dans sa base de données « clients » sans lien direct avec la finalité du traitement, la Cnil a procédé à un contrôle sur place.
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |