La formation restreinte de la Commission nationale de l’informatique et des libertés (ou « Cnil ») est venue récemment sanctionner des petites et moyennes structures au titre de divers manquements à la règlementation applicable en matière de protection des données à caractère personnel. Si les montants des amendes administratives prononcées ne sont pas aussi élevés que ceux des amendes qu’elle a pu récemment infliger à des grands groupes (voir notamment notre précédent article relatifs aux sanctions prononcées à l’encontre de deux entités du groupe Carrefour ou encore les décisions prononcées à l’encontre de Google et d’Amazon), il n’en demeure pas moins qu’il convient de garder à l’esprit que les contrôles et sanctions de la Cnil peuvent viser toute sorte d’organismes traitant des données à caractère personnel, quelle que soit leur taille ou quelle que soit leur activité.
Condamnation de deux médecins libéraux
Par deux délibérations en date du 7 décembre dernier (cf. Délibération n°SAN-2020-014 du 7 décembre 2020 et Délibération n°SAN-2020-015 du 7 décembre 2020), la formation restreinte de la Cnil a respectivement condamné à des amendes de 3 000 euros et de 6 000 euros deux médecins libéraux pour avoir :
- manqué à l’obligation d’assurer la sécurité des données à caractère personnel de leurs patients (cf. article 32 du RGPD). En effet, lors de ses contrôles auprès de ces médecins, la Cnil a relevé qu’une violation de telles données à caractère personnel était imputable à un manquement desdits médecins à leur obligation de mettre en œuvre les mesures appropriées pour garantir la sécurité du traitement mis respectivement en œuvre par chacun d’eux en qualité de responsables de traitement, en soulignant que la protection du réseau informatique interne et le chiffrement des données à caractère personnel faisaient partie des exigences élémentaires en matière de sécurité informatique qui incombent à tout responsable de traitement et que le traitement de données de santé, données particulièrement sensibles, nécessitait une vigilance particulière et le déploiement de mesures de sécurité renforcées ;
- manqué à leur obligation de notifier à la Cnil toute violation de données à caractère personnel, lorsqu’une telle notification est requise, c’est-à-dire lorsque la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques (cf. article 33 du RGPD), et ce alors même que cette violation de données avait été constatée par la Cnil au cours d’un contrôle réalisé par ses soins. En effet, la formation restreinte de la Cnil a précisé que, consécutivement au contrôle, le responsable de traitement pouvait avoir connaissance d’éléments complémentaires relatifs à la violation de données qui méritaient d’être communiqués aux services compétents de la Cnil.
Condamnation d’une très petite entreprise (« TPE »)
Par une autre délibération en date du 7 décembre dernier (cf. Délibération n°SAN-2020-016 du 7 décembre 2020), la Cnil a condamné à une amende de 7 300 euros une TPE ayant pour activité l’envoi de prospections commerciales pour le compte d’annonceurs et a prononcé à son encontre une injonction de mettre en conformité le traitement de données à caractère personnel concerné par le contrôle de la Cnil, et ce au titre des manquements suivants :
- manquement à l’obligation de recueillir le consentement préalable des personnes concernées par une opération de prospection directe au moyen d’un courrier électronique (cf. article L.34-5 du Code des postes et des communications électroniques) : en l’espèce, la Cnil a relevé que cette entreprise n’était en mesure de prouver ni qu’elle-même avait recueilli de manière effective le consentement des personnes prospectées ni que la société auprès de laquelle elle avait acquis des fichiers de prospection avait valablement recueilli le consentement de ces personnes. En outre, la Cnil a souligné que l’engagement de cette entreprise à l’égard de ses partenaires annonceurs de disposer d’une base d’adresses de courrier électronique de personnes ayant donné leur consentement pour recevoir de la prospection commerciale de la part desdits partenaires, par courrier électronique, dans le respect de la règlementation relative à la protection des données à caractère personnel, ne reposait sur aucun élément matérialisant l’existence du consentement des personnes concernées ni permettant de le démontrer, par exemple par des vérifications qui auraient été opérées préalablement auprès des fournisseurs des fichiers de prospection sur ce point ou en recueillant directement un tel consentement et en le documentant ;
- manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées par l’entreprise (cf. article 5 du RGPD) : en l’espèce, la Cnil a relevé que, si la collecte et le traitement du code postal des personnes concernées apparaissaient justifiés dès lors que l’entreprise pouvait adresser certains messages promotionnels uniquement aux personnes habitant dans des départements ciblés, notamment s’agissant de l’envoi de messages promotionnels dans le secteur immobilier, le numéro de téléphone, qui n’était pas exploité par l’entreprise, qui adressait uniquement de la prospection par courrier électronique, n’aurait pas dû être collecté et traité par ladite entreprise dans le cadre de l’achat des fichiers de prospection et qu’il aurait dû, en tout état de cause, être immédiatement supprimé à réception desdits fichiers ;
- manquement à l’obligation de traiter les données à caractère personnel pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (cf. article 5 du RGPD) : en l’espèce, la Cnil a constaté que l’entreprise conservait des données de personnes concernées ayant uniquement ouvert les courriers électroniques de prospection adressés par l’entreprise, sans autre action de leur part, notamment sans avoir cliqué sur un des liens présents dans lesdits courriers électroniques de prospection, ce qui n’a pas été considéré par la Cnil comme un « contact » de la part des personnes concernées, la Cnil rappelant que le point de départ de la durée de conservation de trois ans ne pouvait consister en la simple ouverture d’un courrier électronique et que le dernier contact émanant des personnes concernées devait être matérialisé par exemple par un clic sur un lien hypertexte contenu dans un courrier électronique ;
- manquement à l’obligation d’information des personnes concernées dont les données ont été collectées indirectement (cf. article 14 du RGPD) : en l’espèce, la Cnil a constaté que les personnes concernées dont les données avaient été collectées de manière indirecte étaient informées du traitement de leurs données à caractère personnel par l’entreprise en cause par le biais d’une mention type « allégée » apposée en bas des courriers électroniques qui leur étaient adressés. Or, la Cnil a considéré qu’une telle mention ne comportait pas l’ensemble des éléments requis et qu’elle ne renvoyait pas vers une mention d’information plus complète ;
- manquement à l’obligation de prendre en compte le droit d’opposition des personnes concernées (cf. article 21 du RGPD) : en l’espèce, la Cnil a constaté que bien qu’un lien permettant de s’opposer à la réception de nouveaux courriers électroniques de prospection était présent en bas des courriers électroniques envoyés par l’entreprise en cause, le fait de cliquer sur ce lien n’était pas effectivement suivi d’effets dès lors que la personne était désabonnée du compte utilisé pour l’envoi de la campagne de prospection concernée mais pas des autres comptes utilisés par l’entreprise pour d’autres campagnes et que l’entreprise aurait dû offrir aux personnes concernées des mécanismes satisfaisants leur permettant de se désinscrire de l’ensemble des comptes et inviter lesdites personnes à utiliser ces mécanismes pour exercer leur droit d’opposition ;
- manquement à l’obligation d’encadrer contractuellement ses relations avec ses sous-traitants (cf. article 28 du RGPD) : en l’espèce, la Cnil a constaté que certaines stipulations obligatoires prévues par la règlementation applicable en matière de protection des données à caractère personnel ne figuraient pas dans le contrat conclu par l’entreprise en cause avec son sous-traitant chargé de la diffusion technique des campagnes de prospection, de l’hébergement de sa base de données et du traitement des campagnes publicitaires des annonceurs.
En outre, la Cnil a relevé que l’entreprise en cause agissait en qualité de responsable des traitements relatifs à la prospection commerciale ainsi réalisée pour le compte des annonceurs dès lors que :
- la mise à disposition de sa base de prospects à des fins de prospection commerciale était au cœur de l’activité de cette entreprise. En outre, cette dernière s’engageait contractuellement vis-à-vis des annonceurs à disposer d’adresses électroniques d’internautes ayant donné leur consentement à recevoir des courriers électroniques publicitaires de la part de personnes tierces et était rémunérée pour ce faire par ses partenaires annonceurs ;
- l’entreprise en cause était « propriétaire » de la base de données utilisée dans le cadre des campagnes de prospection, les annonceurs et agences web ne fournissant pas les données à caractère personnel des prospects à contacter et n’ayant pas accès aux données à caractère personnel desdits prospects ;
- c’est bien cette entreprise qui définissait les données à caractère personnel qui figuraient dans sa base de prospects, les durées pendant lesquelles ces données y étaient conservées et les éventuelles mises à jour devant être opérées.
Pour autant, la Cnil a considéré qu’en l’espèce il n’était pas nécessaire de se prononcer sur une éventuelle responsabilité conjointe des partenaires annonceurs de l’entreprise en cause, laissant subsister une certaine incertitude quant à la qualification de ces partenaires…
Condamnation d’une petite / moyenne entreprise (« PME »)
Par une autre délibération en date du 8 décembre dernier (cf. Délibération n°SAN-2020-018 du 8 décembre 2020), la Cnil a condamné à une amende de 20 000 euros une PME spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux et a prononcé à son encontre une injonction de mettre en conformité le traitement de données à caractère personnel concerné par le contrôle de la Cnil, et ce au titre des manquements suivants :
- manquement relatif à l’obligation de recueillir le consentement de la personne concernée par une opération de prospection directe au moyen d’un système automatisé de communications électroniques (cf. article L. 34-5 du Code des postes et des communications électroniques) : en l’espèce, la société en cause constituait sa base de données de prospects à partir de données à caractère personnel accessibles en ligne sur un réseau social professionnel ainsi qu’à partir de fichiers de prospects fournis par des tiers. La Cnil a relevé que le réseau social professionnel en question permettait à des personnes de s’inscrire afin d’entrer en relation avec des professionnels, dans le cadre d’une recherche d’emploi, ou encore de partager des informations avec leur réseau professionnel et d’étendre ce réseau professionnel. Aussi, la Cnil a considéré que les messages de prospection envoyés par la société en cause pour la vente de repas sur le lieu de travail des personnes n’avaient que peu de lien avec l’activité professionnelle des prospects, et que de tels opérations de traitement à des fins de prospection ne pouvait reposer sur l’intérêt légitime du responsable de traitement (cf. exception dite « B to B » élaborée par la Cnil aux termes de laquelle la prospection directe par courrier électronique entre professionnels est autorisée, sans recueil préalable du consentement, à condition que la sollicitation soit adressée sur une adresse de courrier électronique professionnelle et que l’objet de la sollicitation soit en rapport avec la profession de la personne sollicitée) mais qu’au contraire le consentement des personnes concernées à cette fin aurait dû être recueilli. En outre, la Cnil a considéré que devaient être supprimées les données à caractère personnel traitées sans recueil préalable d’un consentement mais que tel n’était pas nécessaire s’agissant des données à caractère personnel de personnes devenues clientes de la société. Par ailleurs, la Cnil a constaté que, lors de la création de leur compte par les personnes concernées sur le site internet ou l’application mobile de la société en cause, leur consentement à recevoir des messages de prospection directe par courrier électronique aurait également dû être recueilli pour pouvoir procéder à de telles opérations ;
- manquement relatif à l’obligation d’informer les personnes concernées (cf. articles 12 et 13 du RGPD) : en l’espèce, la Cnil a relevé que les personnes concernées n’était pas informées de manière complète et accessible s’agissant du traitement de leurs données à caractère personnel par la société en cause, la Cnil rappelant à cette égard qu’il convenait d’indiquer, pour chaque traitement, quelle base juridique fondait celui-ci, ainsi que l’intérêt légitime poursuivi par le responsable de traitement lorsqu’un traitement de données à caractère personnel s’appuyait sur un tel fondement juridique, tout en indiquant que s’il n’était pas requis de fournir l’identité de l’intégralité des destinataires des données, il convenait toutefois a minima d’informer les personnes des catégories de destinataires desdites données. En outre, la Cnil a relevé qu’aucune mention d’information n’était fournie aux personnes concernées lors de la création de compte sur l’application mobile de la société en cause ;
- manquement relatif à l’obligation de respecter le droit d’accès des personnes (cf. article 15 du RGPD) : en l’espèce, la Cnil a relevé que la société en cause avait manqué à son obligation de fournir à des personnes concernées en ayant fait la demande une copie des données à caractère personnel les concernant qu’elle détenait dans sa base de données, ainsi qu’une information relative à la source de ces données ;
- manquement relatif à l’obligation d’assurer la sécurité des données à caractère personnel (cf. article 32 du RGPD) : en l’espèce, la Cnil a considéré que la société en cause n’assurait pas un niveau de sécurité et de robustesse suffisant s’agissant des mots de passe permettant aux personnes concernées d’accéder à leur compte en ligne sur le site internet ou l’application mobile de ladite société dès lors qu’un mot de passe composé d’un seul caractère était accepté lors de la création d’un compte par une personne via l’application mobile et qu’un mot de passe composé de six caractères était accepté lors de la création d’un compte via le site internet de la société, ce qui n’était pas conforme aux recommandations de la Cnil en la matière et conduisait à un risque de compromission des comptes associés et des données qu’ils contiennent.
A cette occasion, la Cnil a également rappelé qu’elle était compétente pour sanctionner un manquement aux dispositions de l’article L.34-5 du Code des postes et des communications électroniques pour ce qui concerne les opérations de prospection directe utilisant les coordonnées d’une personne physique.
* *
*
Ces décisions sont l’occasion de rappeler que la règlementation applicable en matière de protection des données à caractère personnel s’applique à tous les organismes traitant des données à caractère personnel, quelles que soient leur forme, leur taille et/ou leur activité.
Bien entendu, le montant de l’amende en cas de manquement dépend de divers facteurs, et notamment du nombre et de la gravité des manquements, des actions correctrices déployées,… le prononcé d’une telle amende devant en tout état de cause être effectif, proportionné et dissuasif (cf. article 83 du RGPD), ce que la Cnil rappelle d’ailleurs dans ses décisions.
Le Pôle « IT & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel.
Par AGIL’IT – Pôle IT, Data protection & Télécoms
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate
