Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. SAF Logistics, 18 septembre 2023

Résumé des faits

À la suite du signalement d’un salarié indiquant que la société SAF LOGISTICS, une entreprise de fret aérien dont la société mère est basée en Chine, collectait des données sur la vie privée de ses salariés, la CNIL a réalisé un contrôle de cette société et a constaté plusieurs manquements.

La CNIL a ainsi décidé de sanctionner la société d’une amende publique de 200 000 euros pour notamment avoir procédé à une collecte excessive de données, ne pas avoir respecté l’interdiction de traitement de données sensibles et de données relatives aux infractions ainsi que pour défaut de coopération avec les services de la CNIL.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 5.1.c du RGPD

Non-respect du principe de minimisation des données.

  • Non-respect de l’art. 9 du RGPD

Non-respect des conditions applicables à la collecte de données sensibles.

  • Non-respect de l’art. 10 du RGPD

Non-respect des conditions applicables à la collecte de données personnelles sur les condamnations pénales et les infractions.

  • Non-respect de l’art. 31 du RGPD

Absence de coopération avec les services de la CNIL.

Que retenir de la décision ?

  • La notion de responsable de traitement doit faire l’objet d’une appréciation concrète prenant en compte l’ensemble des éléments permettant d’attribuer cette qualité à une entité.
  • L’entité qui définit les finalités et moyens du traitement de données concerné agit en tant que responsable de traitement.
  • La CNIL est compétente dès lors que l’entité qui agit en tant que responsable de traitement est établie en France.
  • L’appréciation du respect du principe de minimisation des données repose sur la stricte adéquation entre les données collectées et les raisons présidant à leur collecte.
  • Le traitement des données sensibles est en principe interdit et ne peut avoir lieu que dans le respect d’un certain nombre de conditions.
  • Un consentement ne peut être considéré comme ayant été collecté de manière libre dès lors que la personne concernée n’a pas d’autre véritable choix que d’accepter.
  • Le traitement de données personnelles liées aux condamnations pénales, aux infractions et aux mesures de sûreté connexes ne peut être effectué que sous le contrôle de l’autorité publique ou lorsque le traitement est autorisé par la loi.
  • Le fait de conserver des extraits de casiers judiciaires des salariés sans raison légitime est particulièrement intrusif, étant possible de révéler des informations sur ces derniers dont la société n’est pas autorisée à avoir connaissance.
  • L’envoi par la société de documents volontairement incomplets malgré plusieurs sollicitations et la fourniture d’informations inexactes démontrent la volonté de chercher à empêcher la CNIL d’exercer ses pouvoirs de contrôle.
  • Le responsable de traitement et le sous-traitant doivent coopérer avec l’autorité de contrôle dans l’exécution de ses missions.

Le + DLD

  • Pour décider du prononcé d’une amende, plusieurs critères sont pris en compte, tels que la nature, la gravité et la durée de la violation, la portée ou la finalité du traitement concerné, le nombre de personnes affectées, les mesures prises par le responsable de traitement pour atténuer le dommage subi par les personnes concernées, le fait que la violation a été commise par négligence, le degré de coopération avec l’autorité de contrôle et dans certains cas, le niveau de dommage subi par les personnes.
  • Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la gravité des manquements en cause et des catégories de données collectées.
  • Pour décider du montant de la sanction, la CNIL tient notamment compte du fait que plusieurs des manquements retenus concernent des principes clé du RGPD.

Délibération Complète de la CNIL

Consulter

À lire aussi