Le RGPD (Règlement Général sur la Protection des Données) est entré en application en mai 2018. Tout le monde en a entendu parler même si le règlement a pu sembler un peu « théorique » et éloigné du quotidien au début. Après une période de bienveillance, les premières sanctions sont tombées et elles sont très concrètes.
Petit état des lieux qui montre que le RGPD doit, si ce n’est pas déjà le cas, figurer en top liste des préoccupations de votre responsable informatique.
Qui est concerné ?
Rappelons tout d’abord que le RGPD et les sanctions qui vont avec, concernent désormais autant le sous-traitant que le responsable du traitement informatique (Celui qui détermine l’objectif et la façon de réaliser le traitement). Obligation de protection des données, notification en cas de violation, coopération avec l’autorité de contrôle, etc… la qualité de sous traitant n’exonère pas des responsabilités.
Quels contrôles ?
Comme elle le précise sur son site, la CNIL dispose « d’une chaîne répressive complète lui permettant de recevoir des signalements par des canaux divers, de réaliser des contrôles dont les suites peuvent aller de la clôture, à la mise en demeure ou à la sanction financière ou non ».
Suite à une réclamation d’un salarié ou d’un client mécontent, la CNIL peut donc obtenir communication toutes les données à caractères personnel détenues. D’une manière générale elle peut vous demander toutes les informations nécessaires à l’accomplissement de sa mission.
Les moyens de la CNIL n’ont rien à envier à ceux de la police : les contrôles peuvent avoir lieu sur place, dans vos locaux, qu’ils soient à usage professionnel ou personnel, en suivant le régime des perquisitions. Les contrôles peuvent également se faire en ligne, si besoin avec des identités d’emprunt. La CNIL peut également procéder à des convocations, auditions et contrôles sur pièces.
Un système de sanctions graduelles
La CNIL peut prononcer des sanctions graduées selon la gravité de l’infraction :
- D’abord, le rappel à l’ordre,
- Ensuite, l’injonction de mise en conformité
- La suspension temporaire ou définitive des traitements des données
- Enfin, l’amende qui peut atteindre 20 millions d’€ 4 % du chiffre d’affaires
Cas pratiques :
On trouve sur le site de la CNIL des exemples édifiants d’irrégularités et de sanctions pécuniaires. Il serait dangereux de penser que cela ne concerne que les géants du Web. Exemples :
- Sanction de 180 000 euros à l’encontre d’une société d’assurance pour avoir insuffisamment protégé les données des utilisateurs de son site web ; Les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et données des clients étaient également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur.
- Sanction de 400 000 euros à l’encontre d’un promoteur et agent immobilier pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées. La société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.
- Sanction pécuniaire d’un montant de 250 000 euros, à l’encontre d’un opérateur téléphonique : Une vulnérabilité permettait d’accéder à des contrats et factures de clients par la simple modification d’une adresse URL. Le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de De tests.
les communiqués de la CNIL devraient permettre à tout dirigeant de comprendre très concrètement la problématique RGPD et les risques. Lecture recommandée.
Pour en savoir plus : https://www.cnil.fr/fr/communiques