En 2024, près de 7 sanctions sur 10 de la CNIL étaient prononcées à l’encontre de TPE/PME ! Une augmentation qui permet de faire un rappel essentiel : la conformité RGPD n’est pas une option, c’est une obligation légale essentielle, mêmes pour les TPE/PME !
Constat : les TPE/PME, de plus en plus sanctionnées
Sur les 38 sanctions prononcées en 2024, 28 ont été réalisées via la procédure simplifiée, qui tend à devenir une voie privilégiée pour la CNIL. En 2023, on dénombrait 42 sanctions dont 24 en procédure simplifiée. Cette tendance montre une volonté de la CNIL d’accélérer les contrôles et les sanctions des plus petits organismes. Les TPE/PME, souvent perçues comme moins préparées, doivent donc se montrer vigilantes.
Le RGPD s’applique à toutes les entreprises, qu’elles soient grandes ou petites. Les sanctions de 2024 montrent que même les plus petites structures ne sont pas à l’abri des contrôles et des amendes de la CNIL. La mise en conformité n’est pas une option, mais bien une obligation.
Il est donc impératif pour chaque TPE et PME de prendre le RGPD au sérieux et de s’assurer que leur traitement des données respecte les règles en vigueur. La procédure simplifiée est une preuve que la CNIL veille, même sur les plus petites infractions.
Liste des sanctions prononcées à l’encontre de TPE/PME en 2024 par la CNIL :
300 000 € : Un éditeur de site web dans le domaine des transports pour la non réalisation d’une AIPD, manquement de transparence, illicéité des données et absence de consentement
Cette entreprise s’est vue infliger une amende considérable pour plusieurs infractions graves :
- Absence d’analyse d’impact (AIPD), pourtant obligatoire pour les traitements à risque.
- Défaut d’information des personnes concernées, une exigence fondamentale du RGPD.
- Manquement au recueil du consentement, notamment pour les cookies.
- Traitement de données sans base légale, une violation de la licéité des traitements.
💡 Si vous manipulez des données sensibles ou effectuez des traitements à risque, l’AIPD est impérative. Informer les utilisateurs et obtenir leur consentement explicite sont des bases incontournables.
20 000 € : Une société de courtage en énergie pour manque de transparence, absence de registre de traitements et non respect du principe de minimisation des données
Sanctionnée pour trois infractions majeures :
- Non Respect du principe de minimisation des données, en collectant des informations non nécessaires.
- Manque de transparence en matière de prospection commerciale.
- Absence de registre des traitements, pourtant obligatoire.
💡 Ne collectez que les données strictement nécessaires à vos objectifs. La tenue d’un registre des traitements est indispensable pour documenter la conformité.
20 000 € : Un établissement d’enseignement supérieur privé pour manquements de sécurité, non respect du principe de minimisation des données et des durées de conservation
Cet établissement a été sanctionné pour plusieurs manquements :
- Violation du principe de minimisation des données.
- Non respect des durées de conservation.
- Lacunes en matière de sécurité des données.
💡 Limitez la collecte de données au strict nécessaire et assurez vous de les effacer ou anonymiser lorsque leur conservation n’est plus justifiée.
Cet article pourrait vous intéresser : Rentrée et RGPD : Optimisez votre conformité en 7 Étapes
15 000 € : Un commerce de détail d’habillement pour non respect des principes de collecte du RGPD et vidéosurveillance
Voici les manquements du RGPD identifiés :
- Manquements aux principes de licéité et de minimisation.
- Absence de transparence sur la vidéosurveillance.
- Défaut de coopération avec la CNIL.
💡 La transparence sur l’usage de la vidéosurveillance est essentielle, tout comme une coopération active avec les autorités de contrôle.
12 000 € : Une société exploitant un casino et un hôtel pour vidéosurveillance et non respect du droit des personnes
Cette sanction repose sur :
- Manque de transparence en matière de vidéosurveillance.
- Nonrespect du droit d’accès des personnes concernées.
💡 Toute personne a le droit de savoir quelles données sont collectées à son sujet et d’y accéder. Ce droit doit être respecté sans ambiguïté.
10 000 € : Une société spécialisée dans la fabrication de clôtures sanctionné pour non respect du droit des personnes
Sanctionnée pour :
- Non respect du droit d’accès.
- Défaut de coopération avec la CNIL.
💡 Répondre rapidement aux demandes des individus concernant leurs droits (accès, effacement, rectification) et maintenir une coopération avec la CNIL lors de contrôles est crucial.
8 000 € : Un hébergeur de site web sanctionné pour non respect du droit des personnes
Cet hébergeur a été sanctionné pour :
- Nonrespect du droit à l’effacement.
- Défaut de coopération avec la CNIL.
💡 Si un individu demande la suppression de ses données, l’entreprise doit agir rapidement et documenter cette suppression. Il est essentiel de prouver la conformité à tout moment.
5 000 € : Une boulangerie sanctionnée pour vidéosurveillance
Une boulangerie a reçu une amende de 5 000 euros pour :
- Manquement à l’obligation d’informer les personnes sur la présence de vidéosurveillance.
- Collecte excessive de données via la vidéosurveillance (principe de minimisation).
- Traitement de données de manière illicite.
💡 Même les petites entreprises, comme les commerces de proximité, sont concernées par le RGPD. La vidéosurveillance doit être clairement signalée et limitée à ce qui est strictement nécessaire.
Cet article pourrait également vous intéresser : Twitter (X), IA et RGPD : 9 plaintes déposées pour Utilisation Illégale des Données Personnelles
Pourquoi vous devez impérativement éviter d’être sanctionné
Trop souvent, les TPE et PME perçoivent la conformité RGPD comme un enjeu réservé aux grandes entreprises. Cette idée est fausse et dangereuse. Les sanctions ne concernent pas seulement les géants du numérique ou les multinationales, mais aussi les entreprises de plus petite taille.
- Une sanction de la CNIL, peu importe son montant, peut entacher gravement la réputation d’une entreprise. De plus en plus de clients et partenaires commerciaux exigent une preuve de conformité.
- Coût financier : Les amendes peuvent s’élever à plusieurs milliers d’euros, voire des centaines de milliers dans certains cas. Pour une petite structure, cela peut représenter une somme conséquente.
- Coût organisationnel : En plus des amendes, la mise en conformité après une sanction peut s’avérer coûteuse et chronophage. Il vaut mieux anticiper que réagir.