Sanctions récentes de la CNIL pour manquements à la règlementation sur les données personnelles
Le 13 septembre 2022, la Commission a annoncé avoir prononcé une sanction de 250 000 euros à l’encontre du GIE Infogreffe, au motif notamment que plus de 25% des données personnelles collectées étaient conservées au-delà du délai de 36 mois à compter de la date de dernière prestation, fixé dans les conditions d’utilisation. Elle relevait également un défaut de sécurité à propos de la création des comptes clients : l’outil ne permettait pas la création d’un mot de passe sécurisé et l’email de confirmation transmettait en clair le mot de passe définitif choisi par le client.
Communiqué de la CNIL du 13 septembre 2022
Délibération SAN-2022-018 du 8 septembre 2022
Le 20 octobre 2022, la CNIL a rendu publique la sanction de la société Clearview à une amende de 20 millions d’euros. Cette condamnation fait suite à deux autres amendes de 7,5 millions de livres au Royaume-Uni et de 20 millions d’euros en Italie par les autorités de contrôle de ces pays. Les manquements observés sont apparus particulièrement graves, puisque la société collecte massivement des photographies et données personnelles d’internautes sur les réseaux sociaux sans aucun consentement des personnes physiques concernées. Il était en outre avéré que cette société limitait drastiquement la possibilité pour toute personne de consulter les données collectées et écartait sans justification les demandes de suppression de données. Surtout, en dépit des demandes, puis de la mise en demeure de la CNIL, cette société a montré un refus de coopérer pour régulariser ses manquements.
Communiqué de la CNIL du 20 octobre 2022
Délibération SAN-2022-019 du 17 octobre 2022
Le 17 novembre 2022, la CNIL a annoncé avoir sanctionné la société américaine Discord, spécialisée dans les services de messagerie instantanée notamment sous la forme de salons virtuels dans lesquels les intervenants peuvent communiquer par oral et par écrit et partager de manière instantanée des contenus visuels et sonores, au paiement de la somme de 800 000 euros. Au rang des manquements constatés, la CNIL déplorait notamment l’absence de politique écrite de conservation des données et la conservation de données de comptes inactifs depuis 5 ans, le maintien en ligne par défaut dans une conversation malgré le clic sur la croix en haut à droite de l’écran, une politique de création de mots de passe insuffisamment sécurisée et enfin le défaut d’analyse d’impact.
Communiqué de la CNIL du 17 novembre 2022
Délibération SAN-2022-020 du 10 novembre 2022
Le 29 novembre 2022, la Commission a rendu publique l’amende de 600 000 euros infligée à EDF à la suite d’opérations de prospection commerciale sans recueil du consentement préalable des usages, ni contrôle précis des partenaires commerciaux destinataires des données, et de la constatation de manquements à l’obligation d’information des personnes, à leur droit d’accès et aux modalités d’exercice de ce droit, mais également à un défaut de sécurisation des mots de passe des clients, pour partie conservés en clair.
Communiqué de la CNIL du 29 novembre 2022
Délibération SAN-2022-021 du 24 novembre 2022
Le 8 décembre 2022, la CNIL a annoncé la sanction de la société Free à acquitter une amende de 300 000 euros au vu de plusieurs plaintes d’utilisateurs ayant rencontré des difficultés pour faire aboutir leurs demandes d’accès et d’effacement de leurs données personnelles. Les contrôles diligentés par la Commission à la suite de ces notifications ont également mis en lumière d’autres dysfonctionnements de la part de l’opérateur dans le traitement des données personnelles : « faible robustesse des mots de passe, stockage et transmission en clair des mots de passe, remise en circulation d’environ 4 100 boîtiers « Freebox » mal reconditionnés ». Cette délibération fait courir un délai de trois mois pour la mise en conformité de la société.
Communiqué de la CNIL du 8 décembre 2022
Délibération SAN-2022-022 du 30 novembre 2022
Enfin, la Commission a terminé son travail de contrôle le 19 décembre 2022 par la sanction de la société Microsoft Ireland Operations Limited à payer une amende de 60 millions d’euros. Était en cause un système intrusif de dépôt de cookies publicitaires sur le terminal d’un utilisateur du moteur de recherche bing.com sans un consentement exprès et surtout, sans la présence d’un bouton simple de refus. Or, sans la présence d’un procédé aussi simple de refus que d’acceptation des cookies, l’utilisateur se trouvait, d’après la CNIL, découragé de rechercher le moyen de les refuser.
Communiqué de la CNIL du 22 décembre 2022
Délibération de la formation restreinte SAN-2022-023 du 19 décembre 2022
Communiqué de la CNIL du 13 septembre 2022
Délibération SAN-2022-018 du 8 septembre 2022
Le 20 octobre 2022, la CNIL a rendu publique la sanction de la société Clearview à une amende de 20 millions d’euros. Cette condamnation fait suite à deux autres amendes de 7,5 millions de livres au Royaume-Uni et de 20 millions d’euros en Italie par les autorités de contrôle de ces pays. Les manquements observés sont apparus particulièrement graves, puisque la société collecte massivement des photographies et données personnelles d’internautes sur les réseaux sociaux sans aucun consentement des personnes physiques concernées. Il était en outre avéré que cette société limitait drastiquement la possibilité pour toute personne de consulter les données collectées et écartait sans justification les demandes de suppression de données. Surtout, en dépit des demandes, puis de la mise en demeure de la CNIL, cette société a montré un refus de coopérer pour régulariser ses manquements.
Communiqué de la CNIL du 20 octobre 2022
Délibération SAN-2022-019 du 17 octobre 2022
Le 17 novembre 2022, la CNIL a annoncé avoir sanctionné la société américaine Discord, spécialisée dans les services de messagerie instantanée notamment sous la forme de salons virtuels dans lesquels les intervenants peuvent communiquer par oral et par écrit et partager de manière instantanée des contenus visuels et sonores, au paiement de la somme de 800 000 euros. Au rang des manquements constatés, la CNIL déplorait notamment l’absence de politique écrite de conservation des données et la conservation de données de comptes inactifs depuis 5 ans, le maintien en ligne par défaut dans une conversation malgré le clic sur la croix en haut à droite de l’écran, une politique de création de mots de passe insuffisamment sécurisée et enfin le défaut d’analyse d’impact.
Communiqué de la CNIL du 17 novembre 2022
Délibération SAN-2022-020 du 10 novembre 2022
Le 29 novembre 2022, la Commission a rendu publique l’amende de 600 000 euros infligée à EDF à la suite d’opérations de prospection commerciale sans recueil du consentement préalable des usages, ni contrôle précis des partenaires commerciaux destinataires des données, et de la constatation de manquements à l’obligation d’information des personnes, à leur droit d’accès et aux modalités d’exercice de ce droit, mais également à un défaut de sécurisation des mots de passe des clients, pour partie conservés en clair.
Communiqué de la CNIL du 29 novembre 2022
Délibération SAN-2022-021 du 24 novembre 2022
Le 8 décembre 2022, la CNIL a annoncé la sanction de la société Free à acquitter une amende de 300 000 euros au vu de plusieurs plaintes d’utilisateurs ayant rencontré des difficultés pour faire aboutir leurs demandes d’accès et d’effacement de leurs données personnelles. Les contrôles diligentés par la Commission à la suite de ces notifications ont également mis en lumière d’autres dysfonctionnements de la part de l’opérateur dans le traitement des données personnelles : « faible robustesse des mots de passe, stockage et transmission en clair des mots de passe, remise en circulation d’environ 4 100 boîtiers « Freebox » mal reconditionnés ». Cette délibération fait courir un délai de trois mois pour la mise en conformité de la société.
Communiqué de la CNIL du 8 décembre 2022
Délibération SAN-2022-022 du 30 novembre 2022
Enfin, la Commission a terminé son travail de contrôle le 19 décembre 2022 par la sanction de la société Microsoft Ireland Operations Limited à payer une amende de 60 millions d’euros. Était en cause un système intrusif de dépôt de cookies publicitaires sur le terminal d’un utilisateur du moteur de recherche bing.com sans un consentement exprès et surtout, sans la présence d’un bouton simple de refus. Or, sans la présence d’un procédé aussi simple de refus que d’acceptation des cookies, l’utilisateur se trouvait, d’après la CNIL, découragé de rechercher le moyen de les refuser.
Communiqué de la CNIL du 22 décembre 2022
Délibération de la formation restreinte SAN-2022-023 du 19 décembre 2022
