La Commission nationale de l'informatique et des libertés (Cnil) a pour vocation de veiller à la bonne application des règles en matière de protection des données personnelles. À cette fin, elle est amenée à enquêter auprès des entités en possible non-conformité et, le cas échéant, à les sanctionner. L'occasion d'un rappel illustré sur la réglementation en place…
La Commission nationale de l'informatique et des libertés (Cnil) a récemment été impliquée dans deux procédures de sanctions à l'égard de professionnels. Deux cas vécus qui permettent de rappeler les droits des personnes dont les données sont traitées.
Dans le premier cas, la Cnil a enquêté auprès d'un courtier en données qui collectait des données à caractère personnel auprès d'utilisateurs afin de les revendre.
Il est reproché au courtier un « défaut de base légale » concernant ces collectes. Le Règlement général sur la protection des données (RGPD) impose en effet que toute collecte de données doit être justifiée par un motif légal autorisant le traitement.
Le courtier indiquait que dans son cas, ce motif était celui du consentement des personnes concernées au traitement de leurs données. Ce qui est un des motifs prévus par le RGPD… À la condition toutefois que le consentement des personnes soit recueilli de façon libre, éclairé et univoque.
Ce qui n'était pas le cas ici, le formulaire de collecte ne permettant pas d'établir clairement le consentement des personnes.
Dans un second cas, la Cnil a collaboré avec son homologue néerlandaise à la suite de suspicions de manquements constatés en France par une société ayant établi son siège européen aux Pays-Bas.
Dans cette affaire, une entreprise exploitant une plateforme de mise en relation de VTC et de clients était suspectée de ne pas garantir suffisamment les droits des chauffeurs de VTC concernant leurs propres données personnelles.
En cause, notamment, l'exercice du droit d'accès. Le RGPD prévoit que chaque personne dont les données sont traitées peut, entre autres, demander à tout moment à ce qu'on lui remette dans un format accessible l'ensemble des données le concernant détenues par une entité.
Problème : quelle que soit la nationalité du demandeur, le professionnel remettait les données dans un document entièrement rédigé en anglais. Ce qui ne correspond pas à un « format accessible » concluent les autorités de contrôles.
Il est également noté que le professionnel n'informait pas clairement les chauffeurs sur l'exercice de leurs droits et ne rendait pas suffisamment accessible leur exercice.
Ces deux sociétés ont donc été condamnées au paiement d'une amende de 75 000 € pour la première et de 10 000 000 € pour la seconde.
Pour rappel, les manquements aux dispositions du RGPD peuvent entrainer le prononcé d'amende pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 000 000 €.
RGPD : de nouvelles sanctions importantes - © Copyright WebLex