Avec en moyenne une sanction (publique) prononcée par mois, la CNIL atteint son quota de septembre en infligeant une amende de 10 000 € à une société pour la violation de plusieurs dispositions légales sur la protection des données à caractère personnel.
Mise en demeure en 2016, la société n’a pas mis en oeuvre les mesures requises
C’est d’abord lors d’un contrôle dans les locaux de la société, fin 2016, que la CNIL a constaté les manquements pour lesquels elle sanctionne, ce mois-ci, la société.
Exerçant une activité de centre d’appel, la société mettait en oeuvre un contrôle des horaires des salariés grâce à un dispositif de pointage biométrique, recueillant ainsi les empreintes digitales de ses salariés.
Elle disposait, de plus, d’un dispositif d’enregistrement des appels téléphoniques, sans que les salariés, ni les appelants, n’en soient informés lors des appels.
Enfin, la CNIL avait constaté que les mots de passes des postes de travail (ordinateurs) des salariés n’étaient pas assez robustes, et que les postes de travail ne se verrouillaient pas automatiquement après une période d’inactivité.
La société avait alors été mise en demeure de se mettre en conformité avec la Loi Informatiques et Libertés de 1978 (Loi CNIL).
Mais alors que le RGPD es entré en vigueur cette année, un nouveau contrôle dans cette société à mis en évidence les mêmes manquements qu’il y a deux ans, démontrant à la fois que la société n’a pas pris en compte la mise en demeure, ne s’est pas conformée à la Loi CNIL, et ne s’est pas non plus mise en conformité avec le RGPD.
Des manquements, mais aussi des insouciances
Lors d’une décision de sanction pécuniaire, la CNIL prend en compte à la fois la volonté démontrée par un organisme de se mettre en conformité, ce qui peut atténuer la sanction, mais aussi la situation financière de l’organisme.
Ici, c’est la situation financière de l’entreprise qui a du motiver la sanction de 10 000 € infligée, malgré la gravité des manquements.
Tout d’abord, le manquement le plus grave, et pour lequel la société n’a pas cherché à se mettre en conformité, est l’utilisation des données biométriques, qui est rendue interdite par l’article 9 du RGPD. De telles données permettent en effet d’identifier de manière unique une personne sans que celle-ci ne puisse empêcher ladite identification (une personne peut changer de nom, mais pas d’empreinte digitale).
Manquement d’autant plus grave que, et la CNIL l’a déjà rappelé, le contrôle des horaires ou de la présence des salariés n’est pas une finalité pouvant légitimer, à elle-seule, l’utilisation de données biométriques.
Second manquement, l’enregistrement illégal des appels téléphoniques. la CNIL, chargée d’appliquer le cadre juridique de la protection des données, sanctionne ce manquement au regard de l’obligation d’information qui pesait sur la société au regard de l’article 13 du RGPD.
Mais rappelons le, l’enregistrement illégal de sons et / ou d’images est aussi punie en droit français par le Code pénal en tant que délit.
Troisième manquement, enfin, un défaut de sécurité primaire sur les postes de travail. Le RGPD impose en effet aux organismes traitant de données à caractère personnel de prévoir des mesures de sécurité à la fois techniques (informatiques) et organisationnelles permettant d’assurer l’intégrité des données.
Or, il ne s’agit pas d’une mesure de sécurité difficile ou coûteuse à mettre en oeuvre qui manque ici, mais d’une mesure de sécurité basique : un simple mot de passe sur un ordinateur.
La CNIL, obligée de rappeler souvent les mesures de sécurité basiques dans les entreprises, en a d’ailleurs fait des fiches, notamment sur les préconisations en matière de mots de passe.
Source :
legifrance.gouv.fr
Tags: RGPD CNIL Sanction pécuniaire Amende CNIL Données sensibles Données personnelles Traitement illégal