Depuis le mois de novembre 2023, la Commission nationale de l’informatique et des libertés (CNIL) a rendu six nouvelles décisions de sanction dans le cadre de sa procédure simplifiée, dont les montants varient de 4 000 € à 20 000 € et ce n’est qu’un début.

La procédure simplifiée de la CNIL est utilisée depuis avril 2022,  pour traiter rapidement et efficacement des infractions mineures au RGPD, générant des sanctions moins lourdes pour des violations moins graves, mais permettant à la CNIL de prononcer plus de sanctions !

Les principales infractions identifiées

Les manquements principaux identifiés comprennent :

– Un défaut de collaboration avec la CNIL ;

– Une collecte excessive de données personnelles d’un candidat lors d’un recrutement

– Le non-respect des droits individuels, notamment en ce qui concerne le droit d’opposition à la prospection politique par voie électronique ;

– Une non-conformité au droit d’accès au dossier médical ;

– Des lacunes en matière de sécurité concernant la solidité et le stockage des mots de passe.

Défaut d’accès au dossier médical : une situation préoccupante

Un professionnel de la santé a ignoré les requêtes de communication de données médicales qu’il avait reçues, en violation de l’article 64 de la loi Informatique et Libertés. Cette omission porte atteinte aux droits fondamentaux des personnes ainsi qu’aux principes de base de la protection des données personnelles. Cette négligence, en lien avec le suivi médical d’un enfant, pourrait compromettre sa prise en charge médicale.

En conséquence, la CNIL a infligé une amende à ce professionnel de la santé.

Collecte non justifiée de données de candidats à un poste

Une entreprise collectait des renseignements tels que les lieux et pays de naissance ainsi que les numéros de sécurité sociale des postulants pour des rôles de figurants ou d’hôtes lors d’événements télévisés. Cependant, ces données n’étaient pas nécessaires à l’évaluation des compétences professionnelles des postulants, ce qui va à l’encontre du principe de collecte de données pour des objectifs spécifiques, explicites et légitimes, stipulé à l’article 5.1.b du RGPD.

La CNIL a sanctionné cette entreprise d’une amende, alors  même qu’elle avait modifié ses formulaires pour ne plus collecter ces informations.

Cet article pourrait vous intéresser : Amazon condamné par la CNIL pour surveillance excessive des salariés : 32 millions d’€ d’amende.

Non-respect du droit d’opposition à la prospection politique

Un candidat aux élections législatives a envoyé des courriels de prospection politique à une personne qui s’y était opposée. La CNIL rappelle que toute personne a le droit de s’opposer à l’utilisation de ses données personnelles pour des activités de prospection (article 21.2 du RGPD). Le responsable du traitement des données doit informer la personne concernée des actions entreprises suite à cette demande, dans un délai d’un mois.

La CNIL a sanctionné ce candidat d’une amende.

Défaut de sécurité des données personnelles des administrés

Une commune n’avait pas pris toutes les mesures nécessaires pour garantir la sécurité des données de ses administrés, en particulier en ne renforçant pas la robustesse et la conservation appropriée des mots de passe. La CNIL estime que cette défaillance est d’autant plus préoccupante pour une entité publique traitant des données sensibles. En conséquence, une amende a été imposée à la commune.

Cet article pourrait vous intéresser : NS CARDS FRANCE sanctionné par la CNIL : 105 000€ d’amende pour manquements au RGPD.

Et si c’était vous ?

La décision de la CNIL de sanctionner une entreprise alors même qu’elle avait modifié ses pratiques après le contrôle et les mises en demeure, témoigne d’un durcissement de l’approche réglementaire. 

N’oublions pas que la CNIL a créé une procédure simplifié pour les amendes jusqu’à  20 000 €  et 100 € par jour d’astreinte  !

Du point de vue financier, y compris les aspects comptables, budgétaires, prévisionnels et fiscaux, ne pas respecter le RGPD peut s’avérer très coûteux. Même une amende relativement faible, comme 10 000 €, ne représente que la pointe de l’iceberg. À cela, il faut ajouter les coûts liés à la défense juridique, le temps consacré à gérer les inspections et les audits, ainsi que les dépenses nécessaires pour corriger les manquements et se mettre en conformité avec la réglementation.

De plus, il est important de souligner que les pénalités et amendes infligées par une autorité administrative, comme c’est le cas de la CNIL en France, sont considérées comme des charges exceptionnelles. Ces charges ne sont donc pas déductibles fiscalement, ce qui accentue encore l’impact financier négatif.  En somme, négliger le RGPD est une décision économiquement défavorable pour toute entreprise.

Pour le même montant, l’entreprise aurait bénéficié d’un abonnement auprès de Mon Expert RGPD d’une durée de 6 ans, assurant une mise à jour permanente et documentée de la protection des données personnelles et sur un plan comptable, constituant tout naturellement des frais généraux déductibles et une TVA récupérable.

Alors que préférez-vous ?

La gestion de votre conformité par Mon Expert RGPD à partir de 149 € HT par mois ou le risque d’une sanction qui représentera plusieurs années d’abonnement et vous obligera néanmoins de surcroît à investir dans votre conformité future ? En plus, si vous êtes condamné, ce que l’on doute, Mon Expert RGPD vous rembourse la totalité des abonnements payés !