RGPD : de nouvelles sanctions importantes

La Commission nationale de l’informatique et des libertés (Cnil) a pour vocation de veiller à la bonne application des règles en matière de protection des données personnelles. À cette fin, elle est amenée à enquêter auprès des entités en possible non-conformité et, le cas échéant, à les sanctionner. L’occasion d’un rappel illustré sur la réglementation en place…

Traitements de données personnelles : le consentement et les droits des personnes

La Commission nationale de l’informatique et des libertés (Cnil) a récemment été impliquée dans deux procédures de sanctions à l’égard de professionnels. Deux cas vécus qui permettent de rappeler les droits des personnes dont les données sont traitées.

Dans le premier cas, la Cnil a enquêté auprès d’un courtier en données qui collectait des données à caractère personnel auprès d’utilisateurs afin de les revendre.

Il est reproché au courtier un « défaut de base légale » concernant ces collectes. Le Règlement général sur la protection des données (RGPD) impose en effet que toute collecte de données doit être justifiée par un motif légal autorisant le traitement.

Le courtier indiquait que dans son cas, ce motif était celui du consentement des personnes concernées au traitement de leurs données. Ce qui est un des motifs prévus par le RGPD… À la condition toutefois que le consentement des personnes soit recueilli de façon libre, éclairé et univoque.

Ce qui n’était pas le cas ici, le formulaire de collecte ne permettant pas d’établir clairement le consentement des personnes.

Dans un second cas, la Cnil a collaboré avec son homologue néerlandaise à la suite de suspicions de manquements constatés en France par une société ayant établi son siège européen aux Pays-Bas.

Dans cette affaire, une entreprise exploitant une plateforme de mise en relation de VTC et de clients était suspectée de ne pas garantir suffisamment les droits des chauffeurs de VTC concernant leurs propres données personnelles.

En cause, notamment, l’exercice du droit d’accès. Le RGPD prévoit que chaque personne dont les données sont traitées peut, entre autres, demander à tout moment à ce qu’on lui remette dans un format accessible l’ensemble des données le concernant détenues par une entité.

Problème : quelle que soit la nationalité du demandeur, le professionnel remettait les données dans un document entièrement rédigé en anglais. Ce qui ne correspond pas à un « format accessible » concluent les autorités de contrôles.

Il est également noté que le professionnel n’informait pas clairement les chauffeurs sur l’exercice de leurs droits et ne rendait pas suffisamment accessible leur exercice.

Ces deux sociétés ont donc été condamnées au paiement d’une amende de 75 000 € pour la première et de 10 000 000 € pour la seconde.

Pour rappel, les manquements aux dispositions du RGPD peuvent entrainer le prononcé d’amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 000 000 €.

RGPD : de nouvelles sanctions importantes – © Copyright WebLex

Partager cet article
Inscrivez vous à la newsletter
Restez informé à chaque instant
Découvrez nos derniers articles
Actualités

Pour une IA innovante et respectueuse de la vie privée ?

Pour la deuxième fois, la CNIL ouvre une consultation auprès de tous les acteurs concernés par l’utilisation de l’intelligence artificielle (IA). L’objectif ? Répondre efficacement aux questions posées par le développement de l’IA sur la protection des données personnelles…

Lire plus »
Actualités

Résolution d’une vente immobilière pour défaut de paiement du prix : des droits d’enregistrement remboursables ?

Une société achète un bien immobilier qui fait l’objet, le jour même d’un incendie. Parce qu’elle n’a même pas payé le prix de vente, elle s’entend avec le vendeur pour annuler la vente à l’amiable et demande à l’administration le remboursement des droits d’enregistrement indûment payés. Refus de l’administration : pourquoi ?

Lire plus »