Depuis juin 2024, la CNIL a prononcé onze sanctions dans le cadre de sa procédure simplifiée, pour un total d’amendes de 129 000 euros. Ces sanctions révèlent divers manquements au RGPD qui sont couramment réalisées par les organisations.
Quels sont les principaux manquements relevés dans cette procédure simplifiée ? Mise en place en 2024, cette procédure a conduit à 28 décisions en 9 mois, pour un total de 290 500 euros d’amendes, dépassant ainsi les sanctions de 2023.
« Cette augmentation reflète la volonté de la CNIL d’appliquer rigoureusement le RGPD », souligne l’autorité. « Il est important de rappeler que la mise en conformité peut aussi se faire sans mises en demeure ou sanctions. Par exemple, lors du traitement des plaintes, les services de la CNIL peuvent intervenir auprès des responsables pour obtenir cette mise en conformité, comme lors d’échanges avec le délégué à la protection des données afin de satisfaire une demande d’exercice de droits », prévient-elle également.
Des manquements courants
Ainsi, les principaux manquements des entreprises constatés sont :
Le non-respect du principe de minimisation des données. L’infraction à ce principe est l’une des infractions les plus fréquentes. « La surveillance vidéo permanente des salariés à leur poste de travail, non justifiée par des raisons exceptionnelles de sécurité ou de vol, porte atteinte au principe de minimisation des données », rappelle la CNIL. De même, l’enregistrement systématique des appels doit être proportionné aux objectifs poursuivis.
L’absence de registre de traitement. La CNIL a aussi sanctionné des entreprises de moins de 250 salariés pour ne pas tenir de registre des activités de traitement lorsque ces traitements ne sont pas occasionnels. Ce registre « est un outil de pilotage et de démonstration de la conformité au RGPD, devant être régulièrement mis à jour en fonction des évolutions fonctionnelles et techniques », répète la CNIL.
La gestion non conforme des cookies. Un autre manquement courant concerne la gestion des cookies et des bannières. La CNIL a sanctionné « l’absence de moyens permettant de refuser les cookies aussi facilement que de les accepter ». La réglementation impose une liberté de choix claire, y compris la possibilité de les refuser à tout moment.
Le défaut de coopération. Certaines organisations n’ont pas coopéré correctement lors des contrôles de la CNIL, ce qui constitue un manquement grave à leurs obligations.
Non-respect des droits des personnes. Certaines entreprises n’ont pas respecté les droits des personnes, notamment en ne répondant pas dans les délais aux demandes d’accès ou de suppression de données. Le RGPD impose des délais stricts, de 1 à 3 mois selon la complexité de la demande, et tout retard est considéré comme une violation.
Le manquement à l’information des personnes. L’absence d’information claire et complète aux personnes sur le traitement de leurs données personnelles est également fréquente. Le RGPD exige une transparence totale, les personnes concernées devant être informées de manière accessible et claire et de manière proportionnée à leur capacité.
La CNIL propose aussi un accompagnement
En parallèle de son approche répressive, la CNIL accompagne les organismes dans leur mise en conformité. En 2023, plus de 15 000 demandes de conseil ont été traitées. Des dispositifs comme le « bac à sable » ou des accompagnements renforcés sont également proposés, pour favoriser un dialogue constructif avec les autorités.
Par ailleurs, en septembre 2024, la CNIL a annoncé qu’elle accompagnera quatre lauréats (Docaposte, Doctrine, la Française des Jeux et ShareID) sur les six prochains mois, leur fournissant des conseils sur mesure pour assurer la conformité de leurs innovations à la réglementation sur la protection des données et en faire des modèles d’innovation.