J’ai commenté la première affaire dans cette vidéo, mais la tendance est désormais claire : on va vers une augmentation significative du niveau de sanctions.
En fait rien de vraiment nouveau :
- la loi informatique et libertés a été modifiée en 2016 pour porter le montant des sanctions à 3 millions d’euros
- Le RGPD a été institué pour s’assurer que de vraies sanctions puissent être prononcées en fait c’est ni plus ni moins que sa raison d’être
- l’article 83 du RGPD impose que les sanctions soient « effectives » et « dissuasives » - la CNIL n’ayant aucune marge d’appréciation au-delà de ces critères, elle est tenue de prononcer des sanctions qui sont dissuasives
- quasiment systématiquement en formation je fais un exercice de simulation réel de sanctions dans lequel des entreprises comme Google, qui ont condamnées sous l’emprire de la loi ancienne, sont sanctionées par les participants au titre du RGPD à plus de +300 millions d’euros
- Accessoirement les décisions de sanctions sont une nouvelle source de revenus pour l’Etat…
Donc d’un point de vue juridique autant que matériel on savait que les sanctions allaient augmenter et il n’y avait aucune discussion sur ces points. Ce qui est intéressant dans cette affaire c’est le contexte dans lequel ces premières affaires ont lieu autant que leurs causes : l’absence de sécurité informatique.
L’affaire en cause (75.000€ d’amende)
Si on synthétise les choses, la CNIL a été informée du fait qu’il était possible d’accéder librement aux données personnelles des membres de l’association.
Un contrôle en ligne a été réalisé en juin 2017, qui a permis à la CNIL de constater qu’une modification de l’URL affichée dans le navigateur permettait d’accéder à des documents des membres avec des données telles que des avis d’imposition, leurs passeports, des titres de séjour, des bulletins de salaires, des attestations de paiement de la CAF.
Ces manquements sont malheureusement assez classiques, la CNIL en parle régulièrement, et étaient quasiment identiques dans les deux affaires précitées.
La CNIL alerte donc l’associate de la violation et lui demande d’y remédier. Comme à son habitude, quelques jours plus tard, elle mène un contrôle sur place dans les locaux de l’association dans lequel il est constaté que les données sont toujours accessibles.
La formation restreinte de la CNIL prononcé ici une sanctionde 75 000 euros, estimant que l’association a substantiellement manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés.
La formation restreinte a tenu compte de la bonne coopération de l’association avec les services de la CNIL. Elle a néanmoins considéré que la gravité de la violation était constituée en raison de la nature des données rendues librement accessibles et du nombre de documents concernés par la violation.
