CNIL : un début 2024 sous le signe des sanctions et des annonces

Au menu de ce début d’année 2024 pour la CNIL : la publication de plusieurs sanctions contre des entreprises pour des manquements au RGPD, la publication d’un bilan des contrôles sur les moyens donnés aux délégués à la protection des données et des annonces (attendues) concernant le cloud. Explications.

La CNIL sanctionne les manquements au RGPD…

En ce début d’année 2024, la CNIL a annoncé avoir sanctionné plusieurs sociétés pour divers manquements au RGPD.

Voici les exemples les plus marquants des manquements constatés :

  • une durée de conservation des données de 10 ans, à l’issue de laquelle les comptes utilisateurs étaient désactivés, mais non supprimés… ce qui aboutissait à conserver les données pour une durée indéterminée ;
  • une information des personnes via une politique de confidentialité incomplète et obsolète ;
  • des règles de complexité des mots de passe des comptes utilisateurs insuffisamment robustes. Près de 50 000 mots de passe étaient conservés en clair dans la base de données et associés à l’adresse électronique et l’identifiant des utilisateurs. En ce qui concerne les mots de passe qui étaient stockés sous une forme hachée, la fonction de hachage utilisée était obsolète (SHA-1) ;
  • un dépôt de cookies d’un service d’analyse d’audience d’un important moteur de recherche sur le terminal de l’utilisateur sans son accord : une pratique qui a concerné chaque visiteur du site web, soit plusieurs centaines de milliers de personnes ;
  • malgré l’absence de tout consentement exprimé sur le bandeau de cookies, une vingtaine de cookies poursuivant des finalités publicitaires étaient tout de même déposés sur le terminal de l’internaute ;
  • la mise en place un système de surveillance de l’activité et des performances des salariés excessivement intrusif, ainsi que l’utilisation de la vidéosurveillance sans information et insuffisamment sécurisée.

… s’intéresse aux moyens donnés aux DPO…

Pour l’année 2023, la CNIL avait annoncé que l’un de ses axes de contrôles principaux seraient de vérifier le rôle exact et les moyens confiés par les organismes à leurs délégués à la protection des données (DPO).

Voici le bilan de ces contrôles :

  • en ce qui concerne les points positifs :
    • les organismes ont bien pris en compte les obligations liées aux missions du DPO et ce dernier est souvent associé aux décisions en lien avec les données personnelles ;
    • le DPO dispose généralement de moyens suffisants à l’accomplissement de ses missions ;
  • en ce qui concerne les points négatifs ayant donné lieu à sanctions :
    • l’existence de conflits d’intérêts entre les missions du DPO et d’autres tâches qui lui sont affectées ;
    • l’absence d’association du DPO aux problématiques liées à la protection des données ;
    • un manque de visibilité sur les fonctions du DPO pour les collaborateurs de l’organisme.

… et fait des annonces pour le cloud !

Étant très sollicitée sur l’usage du « cloud », la CNIL vient de publier 2 fiches pour éclairer les organismes sur le sujet :

CNIL : un début 2024 sous le signe des sanctions et des annonces – © Copyright WebLex

Partager cet article
Inscrivez vous à la newsletter
Restez informé à chaque instant
Découvrez nos derniers articles
Actualités

Assurance-vie : des règles anciennes susceptibles d’évoluer ?

Les primes versées en cas de décès dans le cadre d’un contrat d’assurance-vie sont soumises aux droits de succession après un abattement de 30 500 € si l’assuré avait plus de 70 ans lors de la souscription du contrat. Pour un député, une revalorisation du montant de l’abattement et de l’âge de l’assuré face à l’inflation et l’augmentation de l’espérance de vie serait bienvenue… Qu’en pense le Gouvernement ?

Lire plus »
Actualités

Un salarié protégé, c’est un employeur informé !

Parce que le mandat de conseiller du salarié est un mandat externe à l’entreprise, le bénéfice du statut protecteur suppose que l’employeur en soit informé. L’assistance par le salarié de ses collègues lors d’entretiens préalables en présence de l’employeur suffit-elle à considérer qu’il a connaissance du mandat ? Réponse du juge…

Lire plus »
Actualités

Justice patrimoniale : une protection économique pour les victimes de violences conjugales

Les violences conjugales entraînent des conséquences négatives sur tous les aspects d’une vie, et aussi sur le patrimoine. Dans le prolongement de la protection des victimes, la loi visant à assurer une justice patrimoniale a pour ambition de protéger leurs intérêts économiques et de priver les agresseurs des avantages conférés par le droit de la famille. Focus.

Lire plus »
Actualités

Interruption d’un concours financier : une faute de la banque ?

Une banque décide de mettre fin à son concours bancaire consenti à une société. Une décision fautive et entraînant des conséquences négatives selon les associés-gérants de la société qui réclament des dommages-intérêts. Une décision qui relève de son appréciation, selon la banque, et exécutée dans le respect de la loi… Qu’en pense le juge ?

Lire plus »
Actualités

Commande en ligne : obligation de payer ?

Dans une affaire récente, le juge européen a rappelé les règles qu’il convient d’appliquer lorsqu’un client particulier passe une commande en ligne sur le site marchand d’un commerçant ou d’un professionnel. Au risque de voir la commande, et le paiement, annulés…

Lire plus »