La CNIL a prononcé ces trois derniers mois onze nouvelles sanctions dans le cadre de la procédure simplifiée

octobre 2024 par CNIL

Collecte excessive de données, absence de registre, non-respect des droits des personnes ou défaut de coopération : la CNIL a prononcé onze nouvelles sanctions simplifiées depuis juin 2024. Elle rappelle les règles et les mesures répressives qu’elle peut prendre en cas de non-conformité.

Depuis juin 2024, la CNIL a rendu onze nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée pour un montant cumulé d’amendes de 129 000 euros.

Les principaux manquements retenus concernent :

le non-respect du principe de minimisation des données (vidéosurveillance des salariés et enregistrements de conversations téléphoniques de manière systématique et en intégralité) ;

l’absence de registre de traitement ;

l’absence de moyens permettant de refuser les cookies aussi facilement que de les accepter ;

le défaut de coopération avec la CNIL ;

le non-respect des droits des personnes (absence de réponse dans les délais prévus) ;

le manquement à l’information des personnes (clients et salariés).

Des manquements au principe de minimisation des données

Plusieurs sanctions prises dans le cadre de la procédure simplifiée ont retenu un manquement au principe de minimisation des données, qu’il s’agisse de la vidéosurveillance des salariés ou de l’enregistrement systématique et en intégralité des conversations téléphoniques entre des téléconseillers et des prospects ou clients.

Comme rappelé régulièrement par la CNIL, la surveillance vidéo permanente de salariés à leur poste de travail, non justifiée par des circonstances exceptionnelles liées à la sécurité ou au vol, porte atteinte au principe de minimisation des données.

De même, un système d’enregistrement et d’écoute des appels téléphoniques doit être proportionné au regard de l’objectif poursuivi et ne doit pas porter une atteinte excessive au respect de la vie privée des personnes enregistrées.

Ainsi, la finalité (ou objectif) d’amélioration des ventes et la formation des salariés ne justifie pas d’enregistrer systématiquement et en intégralité les conversations téléphoniques, alors qu’un enregistrement ponctuel et aléatoire des appels émis peut être mis en place.

Il en va de même si l’objectif est de collecter une « preuve » : en dehors des cas où il est imposé par la loi, l’enregistrement systématique des conversations téléphoniques n’est justifié sous réserve d’être nécessaire, que s’il constitue la preuve d’un contrat ou d’un acte d’exécution d’un contrat conclu avec un consommateur (par exemple l’achat d’un service).

Des manquements relatifs au registre des activités de traitement

La CNIL a sanctionné deux sociétés de moins de 250 employés pour absence de registre des activités de traitement, les traitements en cause n’étant pas occasionnels.

La tenue d’un registre des activités de traitement est exigée par les dispositions de l’article 30 du RGPD. Il permet de recenser notamment quelles données sont collectées, pour quelle raison ou encore qui y a accès. C’est un outil de pilotage et de démonstration de la conformité du responsable de traitement au RGPD, qui doit être régulièrement mis à jour en fonction des évolutions fonctionnelles et techniques des traitements de données.

De plus en plus d’organismes sanctionnés

La procédure de sanction simplifiée est un des outils répressifs dont dispose la CNIL pour assurer le respect du RGPD et répondre aux nombreuses plaintes reçues chaque année (16 000 en 2023). Cette procédure simplifiée, inscrite dans la loi depuis 2022 à l’initiative de la CNIL, permet de prononcer des sanctions rapides pour les dossiers ne présentant pas de difficulté particulière, contrairement aux sanctions dites « ordinaires ». Les sanctions simplifiées ne sont pas publiques et le montant des amendes pouvant être prononcées ne peut excéder 20 000 euros.

Depuis janvier 2024, sur 9 mois, la CNIL a prononcé 28 sanctions simplifiées pour un montant total de 290 500 euros. En comparaison, sur la totalité de l’année 2023, 24 sanctions simplifiées ont été prises pour un montant total de 229 500 euros qui se sont ajoutées aux 18 sanctions ordinaires (88 950 000 euros).

Au-delà des sanctions pécuniaires, les mises en demeure participent également au respect du RGPD : la CNIL a ainsi prononcé 168 mises en demeure contre des organismes publics et privés en 2023. Ce chiffre est en constante augmentation depuis plusieurs années (135 en 2021, 147 en 2022).

En outre, la CNIL coopère activement avec les autorités de protection des données européennes. Cette coopération s’est traduite par un renforcement des mesures correctrices ces dernières années, comme l’illustre par exemple la sanction de 290 millions d’euros prise par l’autorité néerlandaise, en coopération avec la CNIL, à l’encontre de la société UBER le 22 juillet 2024.

Enfin, il convient de rappeler que la mise en conformité peut être également atteinte sans mises en demeure ou sanctions. Dans le cadre du traitement des plaintes, l’intervention des services de la CNIL auprès des responsables de traitement peut ainsi permettre d’obtenir une mise en conformité, par exemple lors d’un échange avec le délégué à la protection des données visant à satisfaire une demande d’exercice des droits.

Un accompagnement des professionnels pour une meilleure conformité

En parallèle des mesures répressives, la CNIL accompagne les responsables de traitement dans leur mise en conformité au RGPD en répondant à leurs demandes de conseil (plus de 15 000 en 2023), via plusieurs dispositifs dédiés (accompagnement renforcé, « bac à sable ») qu’elle précise dans sa charte d’accompagnement, ou encore par la publication régulière de nombreuses ressources thématiques et sectorielles sur son site web.

Ces éléments s’inscrivent dans la lignée des conclusions du 2e rapport de la Commission européenne sur l’application du RGPD, qui appelle les autorités européennes à favoriser le dialogue avec les responsables de traitement en renforçant les mesures d’accompagnement pour permettre une régulation efficace.

Textes de référence

Article 5.1.c du règlement général sur la protection des données – RGPD (minimisation des données)

Article 30 du RGPD (registre des activités de traitement)