En 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) continue de renforcer ses actions répressives pour garantir le respect du RGPD. Les récentes sanctions prononcées depuis le début de l’année et principalement à l’encontre des TPE/PME, soulèvent des préoccupations quant à la conformité des petites entreprises au RGPD.

Augmentation des sanctions en 2024

Depuis janvier 2024, la CNIL a rendu quinze nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée, pour un montant total de 98 500 euros, concernant principalement les TPE/PME.

À titre de comparaison, en 2023, la formation restreinte de la CNIL a prononcé 24 sanctions. En 2024, la CNIL a déjà prononcé 15 sanctions, soit plus de la moitié en seulement 2 mois !

Cette évolution traduit la fin d’une période de tolérance pour la CNIL. Désormais, les TPE/PME doivent assumer et assurer leur conformité ! 

Principaux manquements soulevés 

Parmi les principaux manquements retenus par la CNIL, on peut citer :

Un manquement relatif aux missions et ressources du  délégué à la protection des données 

Un organisme a été sanctionné pour avoir omis d’associer son DPO aux réunions concernant la protection des données et la sécurité des systèmes d’information, enfreignant ainsi l’article 39 du RGPD. En effet, dans le cadre de sa mission, le DPO doit être pleinement informé de l’ensemble des discussions autour de la protection des données de son entreprise. Ne pas permettre à son DPO (ou chargé de conformité) d’exercer correctement ses missions constitue une violation du RGPD. 

Un défaut de coopération avec la CNIL

Lors d’un contrôle de la CNIL, il est essentiel de coopérer. Même en cas de manquements ou violations identifiées, il est essentiel de répondre aux demandes de la CNIL, au risque d’être sanctionné pour défaut de coopération ! 

Un défaut de sécurité des données

Encore un énième rappel de la CNIL concernant la sécurité des données ! La CNIL sanctionne plusieurs organismes pour défaut de sécurité à la protection des données (article 32 du RGPD). Dans les faits, la CNIL a reproché aux organismes concernés d’utiliser des fonctions de hachage non sécurisées, et des versions obsolètes du protocole TLS. 

En 2023, 1 sanction sur 3 concernait un défaut de sécurité.  À ce sujet, cet article pourrait vous intéresser : Les cyberattaques fréquentes des TPE et PME : Comment s’en protéger ?

Un non-respect des droits des personnes

La CNIL sanctionne plusieurs organismes n’ayant pas respecté les demandes d’exercice de droit des personnes. 

La plupart des plaintes adressées à la CNIL concernent le non respect d’une demande de droit. Et c’est une information essentielle, car la CNIL traite 100% des plaintes qui lui sont adressées. Découvrez notre article sur le sujet :  Plaintes CNIL : 100% des plaintes sont traitées ! Comprendre l’impact des vérifications systématiques. 

Un manquement à l’information en matière de prospection politique

À l’aube des élections européennes, la CNIL rappelle à l’ordre une association politique. Pour cause : un défaut d’information et de transparence lors d’une campagne de prospection électorale. 

Un manquement aux obligations du sous-traitant

Les obligations du sous-traitant doivent être précisément définies en amont dans un contrat, le liant au responsable de traitement. En cas de non respect de ces dispositions, ou dans le cas d’une violation du RGPD, la CNIL est compétente pour sanctionner. 

Cet article pourrait vous intéresser : Conformité RGPD : Tout ce que Vous Devez Savoir sur la Gestion des Sous-Traitants. 

TPE/PME, il est urgent de vous conformer ! 

Face à ces défis, les entreprises, et en particulier les TPE/PME, doivent prendre des mesures proactives pour assurer la sécurité et la protection de leurs données. Le message de la CNIL est très clair : la période de tolérance est terminée ! Les TPE/PME sont également concernées par le RGPD et le risque de sanction est bien réel.