RGPD : les sanctions se succèdent

RGPD : les sanctions se succèdent

Publié le : 10/07/2019 10 juillet Juil. 2019

Une PME Parisienne condamnée à 20.000€ d’amende par la CNIL

Uniontrad Company est une société de traduction composée de neuf salariés. Certains collaborateurs ont envoyé des plaintes à la CNIL pour abus dans le cadre d’installation de caméras sur le lieu de travail. En 2017, la CNIL avait alerté à 2 reprises la société sur les règles à respecter :
  • Ne pas filmer les salaires en continu
  • Transmettre des informations sur la présence de caméras
Un contrôle a été effectué au sein de la société en février 2018 et aucune des règles n’était respectée.
En juillet 2018, la CNIL a mis en demeure la PME de se mettre en conformité avec la loi Informatique et Libertés. La formation restreinte de la CNIL a aussi prononcé une amende de 20.000€ suite aux manquements persistants observés lors du contrôle.
La CNIL a aussi enjoint l’entreprise à mettre en place un système de traçabilité des accès à la messagerie professionnelle partagée dans les deux mois. Passée cette date, la société devra payer une pénalité 200€/jour de retard. 

Sergic condamnée à 400.00€ pour atteinte à la sécurité des données

La société Sergic, spécialisée dans le secteur de la promotion immobilière. Pour simplifier les démarches des candidats à la location, elle leur permet de télécharger directement sur le site web www.sergic.com les pièces justificatives nécessaires pour compléter leur dossier. 

En août 2018, un utilisateur du site a transmis à la CNIL une plainte car il avait eu accès, depuis son propre espace, aux documents enregistrés par d’autres candidats. Un contrôle effectué par la CNIL en septembre 2018 a confirmé qu’aucune authentification n’était requise. La société a été alertée le jour même de cette défaillance.

Quelques jours plus tard, la CNIL a effectué un contrôle dans les locaux de la société et l’investigation a montré que le défaut était connu depuis 6 mois mais qu’aucune décision n’avait été prise pour corriger la faille de sécurité des données en question. La formation restreinte de la CNIL a prononcé une amende de 400.000€ et a rendu publique la sanction. 

l’OPH de Rennes, condamnée à 30.000€ d’amende pour utilisation d’un fichier de contacts à d’autres fins que les finalités initiales

En octobre 2017, la CNIL a reçu une plainte qui dénonce l’utilisation d’un fichier de locataires de logements sociaux par l’OPH à des fins incompatibles aux finalités annoncées. Le RGPD (Règlement sur la Protection des Données Personnelles), contraint toutes les entreprises à détenir et mettre à jour un registre qui décrit chaque traitement de données personnelles avec notamment la description précise de sa finalité. Cette dernière doit être déterminée, explicite et légitime. En l’occurrence, l’OPH a tenté de justifier sa démarche en expliquant qu’elle a agi dans la simple volonté d’informer les locataires, dans le cadre légitime de ses missions. Hors, au vu des termes utilisés dans le courrier, la CNIL a considéré que l’action de « communication » avait clairement une volonté politique, visant à critiquer une annonce gouvernementale qui concernait la baisse à venir des APL.

La formation restreinte a prononcé une sanction de 30.000€. La CNIL a décidé de publier cette décision pour rappeler les principes fondamentaux de la loi Informatique et Libertés ainsi que du RGPD qui concerne les finalités initiales des traitements de données.
 

L’Association pour le Développement des Foyers (ADEF), condamnée à 75.000€ pour protection négligée des données des utilisateurs de son site interne

L’ADEF met à disposition des logements pour des familles monoparentales, travailleurs migrants et étudiants dans des résidences.

En juin 2017, la CNIL est informée d’un incident de sécurité informatique qui rendait accessibles les données personnelles des demandeurs de logement qui avait effectué une démarche d’inscription sur le site web de l’association. Un contrôle de la CNIL a confirmé qu’une simple modification du chemin de l’URL pouvait donner accès aux documents tels que les avis d’imposition, pièces d’identités, bulletins de salaires, attestations de paiement de la CAF etc.

Avertie le même jour, l’association a reçu une amende de 75.000€ pour n’avoir pas fait le nécessaire en amont du développement du site web par leur prestataire externe. Conformément à la loi Informatiques et Libertés, l’association était tenue de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site internet.
La gravité de la violation, au vu de la nature des données non sécurisées, a poussé la CNIL a rendre la sanction publique malgré la bonne collaboration de l’association.
 
En savoir plus sur l'accompagnement à la mise en conformité RGPD en cliquant ici

Source : https://www.cnil.fr/fr/tag/sanctions

Historique

<< < 1 2 3 4 5 6 7 ... > >>
Information sur les cookies
Ce site utilise des "cookies" pour effectuer de la mesure d’audience, ne nécessitant pas de consentement préalable, en application des textes régissant la protection des données personnelles.
Vos données personnelles ne sont pas collectées et ces cookies ne représentent aucun danger pour votre équipement.
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation des cookies. Plus d'informations Moins d'informations
Les cookies sont des fichiers textes utilisés à des fins statistiques ou pour le fonctionnement de certains modules d'identification par exemple.
Ces fichiers ne sont pas dangereux pour votre périphérique et ne sont pas utilisés pour collecter des données personnelles.
Le présent site n’utilise que des cookies d'identification, d'authentification, d’analyse de mesure d'audience ou de load-balancing ne nécessitant pas de consentement préalable, en application des textes régissant la protection des données personnelles.
Vous pouvez cependant vous opposer à la mise en place de ces cookies en désactivant cette option dans les paramètres de votre navigateur.
Nous vous invitons à consulter les instructions de votre navigateur à cet effet et vous informons qu'en cas de blocage de ces cookies certaines fonctionnalités du site peuvent devenir indisponibles.
J'ai compris