« [Je vous ] informe symboliquement que tous les mous du slibard qui avaient l’habitude de se les rouler sous l’ancien régime vont devoir se mettre un coup de fouet s’ils veulent pas que je leur mette moi-mème. [Le RGPD] symbolise la fin des haricots et la décarrade des tire-au-flanc, et surtout l’avènement de l’ordre et de la discipline. En d’autres termes, la rigolade, c’est terminé ».
Attribuée au roi Léodagan dans la série Kamelott, cette citation résume parfaitement la position de la CNIL à l’égard de l’application du RGPD entré en vigueur depuis maintenant plus d’un an. Par ses récentes sanctions rendues publiques, la CNIL semble envoyer un message fort : la mise en conformité RGPD n’est plus sujette à délais ou clémence. Tel était le cas notamment pour certains groupes de métiers particulièrement concernés du fait des données particulièrement sensibles qu’ils détiennent.
Ces exemples sont révélateurs des manquements et erreurs classiques des sociétés en matière de protection des données, sur lesquels les délégués à la protection des données attirent fréquement l’attention. Plus d’informations sur les manquements redondants en martière de RGPD sanctionnés par la CNIL.
Groupe SERGIC : la sanction de la CNIL pour un défaut de réactivité
En mai 2019, une sanction de 400 000 euros a été prononcée à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en oeuvre des modalités de conservation des données inappropriées.
A l’image d’autres sociétés également condamnées par la CNIL ces dernières années, le site internet du groupe permettait à tout internaute, via une modification légère de l’URL de l’espace personnel, d’accéder à des documents enregistrés par d’autres utilisateurs dont pièces d’identité, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.
Contrôlé début septembre 2018, la CNIL découvre que le groupe connait la faille depuis le mois de mars 2018. Ses enquèteurs ont ainsi constaté des manquements graves au RGPD et autres aux obligations légales du groupe SERGIC – défaut de mise en place de procédure d’authentification fiable, aggravé par la nature des documents accessibles et délai considérable de six mois pour sa correction, conservation sans limitation de durée des documents transmis.
Outre le montant financier de la sanction, le caractère publique de la sanction est une deuxième peine pour le groupe, sans doute plus préjudiciable encore, au regard de son image vis-à-vis de ses clients.
Active Assurance & RGPD : des données sensibles accessibles
Le 18 juillet 2019, la CNIL a prononcé une sanction rendue publique d’un montant de 180 000 € contre un cabinet de courtage, Active Assurances, lui reprochant une « atteinte à la sécurité des données des clients ».
Concepteur et distributeur de contrats d’assurance automobile à des particuliers, son site web www.activeassurances.fr offre notamment l’accès à un espace personnel, qui par une légère modification de l’URL permet l’accès à d’autres comptes.
Signalé en juin 2018, la CNIL a constaté la possibilité d’accéder à divers documents tel des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite.
Les mesures lacunaires proposées par Active Assurances en réponse ont imposé une sanction compte tenu de plusieurs éléments : mots de passe imposés correspondant aux dates de naissances des clients, identifiants et mots de passe transmis en clair par courriel, etc. Ce manquement à l’obligation de sécurisation des données personnelles et le nombre de données concernées, ont abouti à la sanction prononcée et sa publicité.
Protection des données: les moyens d’actions et recours contre les sanctions de la CNIL
Longtemps négliées ou inconnues, les sanctions de la CNIL sont susceptibles de plusieurs voies d’appel selon le type de décisions prononcées. La CNIL ayant le statut d’autorité administrative indépendante, les recours contre ses décisions sont effectués directement devant le Conseil d’État en pleine juridiction – premier et dernier ressort. Les modalités de ce recours sont strictes : délai d’action dans les deux mois à partir de la notification ou de la publication de la décision.
Plus d’informations sur les voies de recours en matière de sanctions CNIL.