Résumé des faits
Après avoir reçu plusieurs plaintes au sujet des difficultés rencontrées par des personnes concernant l’exercice de leurs droits, la CNIL a effectué un contrôle et a constaté des manquements à plusieurs obligations du RGPD.
Elle a ainsi sanctionné la société par une amende publique de 300 000 euros pour non-respect notamment des règles concernant les droits des personnes et la sécurité des données personnelles. Elle a également adopté à l’encontre de la société une injonction de se mettre en conformité avec ses obligations, assortie d’une astreinte d’un montant de 500 euros par jour de retard à l’issue d’un délai d’un mois suivant la notification de la délibération.
Motifs de la sanction / Manquements
- Non-respect des art. 12 et 15 du RGPD
Absence de prise en compte effective des demandes d’accès, la société n’ayant pas donné suite aux demandes des personnes dans les délais ou qu’elle leur a répondu de manière incomplète quant à la source de leurs données.
- Non-respect des art. 12 et 17 du RGPD
Absence de traitement des demandes d’effacement dans les délais.
- Non-respect de l’art. 32 du RGPD
Absence de respect des exigences sur la sécurité des données personnelles, les mesures techniques et organisationnelles du processus de reconditionnement des boîtiers étant insuffisantes, les mots de passe n’étant pas robustes, stockés en clair, et transmis en clair aux utilisateurs lors de la création de leurs comptes sans qu’ils ne soient temporaires et uniques.
- Non-respect de l’art. 33 du RGPD
Absence de respect de l’obligation de documenter les violations de données personnelles, la documentation créée ne permettant pas de connaitre toutes les mesures prises pour remédier à l’incident.
Que retenir de la décision ?
- Dans le cadre d’une demande d’exercice de droit d’accès, le responsable de traitement doit répondre à la personne concernée en lui fournissant les informations sur les mesures prises, même s’il ne détient plus tout ou partie des données la concernant.
- La limitation du droit d’accès par « les droits et libertés d’autrui » concerne uniquement la demande d’une copie des données au titre de l’article 15-4 du RGPD, non pas la demande d’informations en application de l’article 15-1 du RGPD.
- En application du principe de transparence, le responsable de traitement doit en règle générale communiquer « la source spécifique » des données, et il ne peut se limiter aux éléments sur la nature de la source et l’identité de la source primaire que dans le cas où ne détient pas cette information.
- La demande de suppression générale d’un compte de messagerie électronique implique nécessairement une demande d’effacement des données personnelles liées à ce compte.
- Le caractère suffisant des mesures de sécurité s’apprécie au regard, d’une part, des caractéristiques du traitement et des risques qu’il induit, d’autre part, de l’état de connaissances et du coût des mesures.
- La mise en place d’une politique d’authentification robuste constitue une mesure élémentaire de sécurité.
- Le recours à un mot de passe court ou simple sans imposer l’utilisation de catégories spécifiques de caractères et sans mesures de sécurités complémentaires, peut conduire à des attaques par des tiers non autorisés.
- Le principe de responsabilité implique que le responsable de traitement mette en place la documentation nécessaire permettant de démontrer sa conformité.
Le + DLD
- Bien que les Guides de la CNIL et de l’ANSSI sur la sécurité des données personnelles n’aient pas un caractère impératif, ils sont pertinents dans le cadre de la définition des mesures de sécurité.
- La CNIL prend en compte pour le prononcé d’une amende non seulement la nature, la gravité, la durée de la violation, les mesures prises pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données personnelles concernées par la violation, mais également la taille et la situation financière de la société.
- Pour décider s’il y a lieu de publier la sanction, la CNIL tient compte notamment des personnes concernées et des défaillances liées aux traitements de données personnelles.
