Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. SNAF, 15 septembre 2021

Résumé des faits

Des contrôles effectués par la CNIL auprès de la société SNAF suite à plusieurs plaintes de personnes indiquant des difficultés dans l’exercice de leurs droits ont permis de constater des manquements aux droits des personnes concernées.
Une mise en demeure a ainsi été adressée à la SNAF de se mettre en conformité avec le RGPD dans un délai de deux mois.
Les mesures nécessaires n’ayant pas été mises en place, la CNIL a sanctionné la société SNAF d’une amende publique de 3 000 euros pour plusieurs manquements, dont notamment le non-respect des droits de rectification et d’effacement.

Motifs de la sanction / Manquements

  • Non-respect de l’article 16 du RGPD : absence de traitement dans les délais des demandes de rectification des données.
  • Non-respect de l’article 17 du RGPD : absence d’une gestion effective des demandes d’effacement.
  • Non-respect de l’article 30 du RGPD : absence de registre des traitements.
  • Non-respect de l’article 31 du RGPD : absence de coopération avec la CNIL.

Que retenir de la décision ?

  • Les informations présentes dans des fiches relatives aux entreprises référencées dans un annuaire contiennent des données à caractère personnel dès lors qu’elles se rapportent à une personne physique identifiée. Tel est le cas des noms, prénoms et adresses des personnes physiques lorsque celles-ci ont le statut d’autoentrepreneur ou lorsqu’elles exercent une profession libérale sans être membre d’une structure d’exercice.
  • Le droit à l’effacement s’applique dans le cas où la base légale du traitement est l’intérêt légitime, sauf si le responsable de traitement invoque un motif légitime impérieux justifiant que le traitement mis en œuvre prime sur les droits des personnes.
  • La mise en place d’un registre des traitements est obligatoire pour une entreprise qui compte moins de 250 salariés dès lors qu’elle met en place un traitement de manière non occasionnel et que ce traitement constitue le cœur de l’activité.

Les + de Data Legal Drive

  • Des plaintes adressées à la CNIL par les personnes concernées peuvent aboutir à un contrôle de la société sur le respect effectif des exigences liées à la règlementation sur les données personnelles.
  • Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, la CNIL tient compte notamment du nombre des manquements, de l’objet des manquements, des conséquences pour les personnes concernées, de la durée pendant laquelle la CNIL a accompagné la société pour aboutir à une mise en conformité.

Délibération complète de la CNIL

Consulter

À lire aussi