La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment prononcé neuf nouvelles sanctions à l’encontre d’organismes ayant enfreint le Règlement Général sur la Protection des Données (RGPD) et la loi Informatique et Libertés. Ces sanctions, d’un montant total de 83 000 euros, ont été prises dans le cadre de la procédure simplifiée mise en place en 2022.
Qu’est-ce que la procédure simplifiée ?
La procédure simplifiée a été introduite par une réforme des procédures correctrices de la CNIL en janvier et avril 2022. Elle vise à permettre à l’autorité de contrôle de traiter plus efficacement les dossiers peu complexes ou de faible gravité, face à l’afflux croissant de plaintes reçues chaque année (plus de 14 000 en 2021). Dans le cadre de cette procédure, la présidente de la CNIL peut saisir directement le président de la formation restreinte, qui statue seul sans audience publique, sauf demande contraire de l’organisme concerné.
Les sanctions possibles sont limitées à un rappel à l’ordre, une amende maximale de 20 000 euros et une injonction avec astreinte plafonnée à 100 euros par jour de retard.
Ces sanctions ne sont pas rendues publiques. Cette procédure simplifiée permet ainsi à la CNIL d’accélérer le traitement des dossiers simples, tout en conservant la procédure ordinaire, plus lourde, pour les cas plus complexes ou graves justifiant des sanctions plus sévères.
Les principaux manquements sanctionnés
Parmi les neuf nouvelles sanctions prononcées, on retrouve des manquements variés au RGPD et à la loi Informatique et Libertés :
- Traitements illicites de données, comme la diffusion d’une vidéo promotionnelle comportant des données sensibles ou la publication en ligne des noms de personnes radiées d’une association.
- Manquements à la minimisation des données, avec par exemple l’enregistrement systématique et intégral de conversations téléphoniques dans un centre d’appels.
- Violations de la sécurité des données.
- Non-coopération avec la CNIL et non-réponse à une demande d’exercice des droits des personnes.
- Manquements relatifs aux cookies, lorsque le site web ne permettait pas de refuser les cookies aussi simplement que de les accepter.
Ces sanctions confirment que la CNIL reste vigilante sur l’ensemble des obligations découlant du RGPD et de la loi Informatique et Libertés, des plus graves aux plus « mineures ».
Un focus sur la géolocalisation des employés et la vidéosurveillance
Deux thématiques ont particulièrement retenu l’attention de la CNIL dans ces nouvelles sanctions : la géolocalisation des véhicules des employés et la vidéosurveillance des salariés sur leur lieu de travail. Sur la géolocalisation, la CNIL rappelle que l’enregistrement continu des données de localisation, sans possibilité pour les employés d’interrompre le système pendant les pauses, constitue une atteinte excessive à leur liberté d’aller et venir et à leur vie privée, sauf justification particulière.
Concernant la vidéosurveillance, elle réaffirme sa position selon laquelle la surveillance vidéo permanente des postes de travail, sans raison particulière liée à la prévention des accidents ou à la recherche de preuves, n’est pas proportionnée. Dans ces conditions, les données vidéo générées ne sont ni adéquates, ni pertinentes au regard des finalités poursuivies. La surveillance constante des employés est donc disproportionnée, sauf exceptions.
Une politique répressive dissuasive et proportionnée
Avec ces neuf nouvelles décisions, la CNIL démontre sa volonté de mener une politique répressive à la fois dissuasive et proportionnée, en s’appuyant sur la nouvelle procédure simplifiée. Cette procédure lui permet en effet de traiter plus rapidement les dossiers simples, tout en conservant la procédure ordinaire, plus lourde, pour les cas les plus graves ou complexes justifiant des sanctions plus sévères.
La CNIL prévoit ainsi de prononcer régulièrement des sanctions dans le cadre de la procédure simplifiée, et d’en rendre compte sur son site web, afin de renforcer l’effectivité de son action répressive face à l’augmentation constante des plaintes reçues.
L’autorité de contrôle démontre par ces sanctions sa volonté de rester vigilante sur l’ensemble des obligations découlant du RGPD et de la loi Informatique et Libertés, quelle que soit leur gravité apparente. Elle rappelle ainsi aux organismes l’importance du respect de l’ensemble des principes fondamentaux de la protection des données personnelles.
Source : La CNIL a prononcé neuf nouvelles sanctions dans le cadre de la procédure simplifiée