5 ans après l’entrée en application du RGPD, de nombreux organismes sont encore sanctionnés pour défaut du recueil du consentement et de sécurité. La CNIL sévit : la période de tolérance est finie ! Dans cet article, découvrez en détail la sanction prononcée à l’égard de KG COM, une société de voyance en ligne. 

Rappel des faits 

La société KG COM propose des services de téléconsultation en ligne. À la suite de plusieurs violations de données, la CNIL décide d’effectuer plusieurs contrôles sur le site. 

Des contrôles ayant abouti à une lourde amende : 150 000€ ! 

En effet, la CNIL dispose d’un pouvoir de contrôle qu’elle peut exercer selon sa propre prérogative. En cas de plainte, signalement ou violation de données, la CNIL peut vérifier sur place votre conformité.

Plusieurs manquements relevés :

Le bilan est très lourd, et justifie le montant élevé de l’amende. 

Des enregistrements d’appels sans prévenir la personne concernée ! En effet, les personnes concernées, qui utilisaient les services proposés par KG COM, étaient en permanence enregistrées ! Un comportement contraire à l’article 5 du RGPD, qui introduit le principe de minimisation des données, et qui n’a pas su être correctement justifié par la société sanctionnée. 

Une conservation bien trop longue des données bancaires : Un organisme n’a pas le droit de conserver vos données bancaires pour d’éventuels futurs achats sans recueillir préalablement votre consentement ! Un manquement à l’article 6 du RGPD (défaut de base légale), car la société KG COM avait, à tort, défini l’intérêt légitime comme base légale pour ce traitement. 

Une récolte de données sensibles, sans consentement. Le traitement des données sensibles est en principe interdit, en vertu de l’article 9 du RGPD. Cependant, il existe quelques exceptions permettant ce traitement, telles que le recueil du consentement. Lors des téléconsultations, les personnes concernées étaient amenées à dévoiler des données sensibles, relatives à leur état de santé ou leur orientation sexuelle, sans que leur consentement ne soit recueilli. En effet, la CNIL a estimé qu’un défaut d’information était à relever, tant les personnes concernées ne délivraient pas explicitement leur consentement. 

Défaut de sécurité : absence de robustesse de mots de passe et de protocole sécurisé :  Respecter l’article 32 du RGPD, c’est participer à sa conformité et protéger son entreprise des sanctions mais surtout des cyberattaques ! Cyberattaques qui auraient probablement pu être évitées, et qui aurait permis a priori d’éviter les contrôles de la CNIL. En l’espèce, KG COM prévoyait des mots de passes simples pour les utilisateurs de ses services, n’avait pas prévu de protocole sécurisé pour son site web, et utilisait un mécanisme de chiffrement vulnérable pour la protection des données bancaires. 

Manquement à l’obligation de notifier les violations de données. Conformément à l’article 33 du RGPD, toute violation de données présentant des risques pour les droits et libertés des personnes concernées doit être signalée à l’autorité de contrôle, via le téléservice dédié, dans les 72h après la prise de connaissance de la violation. Alors que la société a été informée de la cyberattaque, elle n’a pas estimé utile de déclarer cette violation à la CNIL, malgré des éléments de preuve irréfutables. 

Cerise sur le gâteau, ou plutôt sur les cookies : La CNIL souligne l’absence de bandeau d’information relatif aux cookies et le dépôt, sans consentement, de 3 cookies sur le terminal des utilisateurs. Et bien qu’un bandeau ait été installé, celui-ci ne permettait pas le refus aussi simplement que l’acceptation des cookies. 

En bref, plusieurs manquements justifiant une amende proportionnée selon la CNIL ! 

Cet article pourrait également vous intéresser : Top 10 des erreurs les plus fréquentes en entreprise concernant la protection des données.

FAQ : Comprendre la sanction de 150 000 euros par la CNIL suite à la non-conformité de KG COM au RGPD

Quel avenir pour KGCOM ?

La société doit urgemment se mettre en conformité ! Sous risque de subir une nouvelle cyberattaque, et une nouvelle sanction de la CNIL. 

Comment la CNIL a déterminé cette sanction ? 

Conformément à l’article 83 du RGPD, la CNIL se fonde sur l’ensemble des manquements relevés et de la gravité de ces derniers pour déterminer sa sanction. Pour les manquements ici relevés, l’’amende peut s’élever à 20 000 000€ ou 4% du CA (le montant le plus élevé est retenu) en fonction des circonstances aggravantes retenues (récidive, négligence…). 

Quelles sanctions la CNIL peut-elle prononcer ?

En dehors des amendes qu’elle peut prononcer, l’autorité de contrôle peut également : 

• prononcer un rappel à l’ordre ;
• enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
• limiter temporairement ou définitivement un traitement ;
• suspendre les flux de données ;
• ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte.