La CNIL prononce six nouvelles sanctions dans le cadre de sa procédure simplifié
décembre 2023 par CNIL
Collecte non justifiée de données d’un candidat à l’embauche, droit d’opposition à la prospection politique par courriel, droit d’accès au dossier médical, défaut de sécurité des données et mots de passe insuffisamment robustes : depuis novembre, la CNIL a prononcé six nouvelles sanctions dans le cadre de sa procédure simplifiée.
Depuis le mois de novembre 2023, la CNIL a rendu six nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée pour un montant total de 44 000 euros.
Les principaux manquements retenus sont :
un défaut de coopération avec la CNIL ;
une collecte excessive de données d’un candidat à l’embauche ;
un non-respect des droits des personnes (exercice du droit d’opposition à la prospection politique par courrier électronique) ;
un non respect du droit d’accès au dossier médical ;
un défaut de sécurité des données (robustesse et de stockage des mots de passe).
Un non-respect du droit d’accès au dossier médical
Un professionnel de santé n’avait pas fait droit aux demandes de communication des données de santé qu’il avait reçues.
Les professionnels de santé doivent pourtant faire droit à ces demandes, en vertu de l’article 64 de la loi Informatique et Libertés. En effet, la non-communication du dossier médical porte atteinte aux droits des personnes et aux principes fondamentaux de la protection des données personnelles. Ce manquement est d’autant plus grave qu’il concerne le suivi médical d’un enfant et peut nuire à sa prise en charge médicale.
En conséquence, la CNIL a sanctionné d’une amende ce professionnel de santé.
Une collecte non justifiée de données de candidats à un emploi
Une société collectait les lieux, pays de naissance, et les numéros de sécurité sociale de candidats à un emploi de figurant ou d’hôte pour des événements télévisés.
Pourtant, la collecte de ces données ne présente pas de lien direct et nécessaire avec l’emploi proposé et avec l’évaluation des aptitudes professionnelles, ce qui constitue un manquement au principe de collecte des données pour des finalités déterminées, explicites et légitimes (article 5.1.b du RGPD).
La circonstance que ces données faciliteraient les opérations de gestion lors de la phase de conclusion du contrat de travail ne justifie pas davantage leur collecte dès la phase de sélection des candidatures.
La CNIL a ainsi condamné à une amende financière la société. Celle-ci avait, entretemps, modifié son formulaire afin de ne plus collecter ces trois types de données : une telle action ne l’exonère pas de sa responsabilité pour les faits passés.
Un non-respect du droit d’opposition à la prospection politique par courrier électronique
Un candidat aux élections législatives de juin 2022 a adressé à une personne des courriers électroniques de prospection politique. Cette personne s’est opposée auprès du candidat à la réception de ces messages, en vain.
La CNIL rappelle que, lorsque des données personnelles sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment à l’utilisation de ses données pour ces objectifs (article 21.2 du RGPD).
Le responsable de traitement à qui est adressée une demande d’exercice du droit d’opposition doit, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande, informer la personne concernée des mesures prises à la suite de cette demande.
La CNIL a prononcé une amende contre ce candidat.
Un défaut de sécurité des données personnelles d’administrés
Une commune n’avait pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données personnelles de ses administrés. En effet, les mesures mises en œuvre pour assurer la sécurité des données étaient insuffisantes, les précautions minimales en matière de robustesse et de stockage des mots de passe n’étant pas respectées.
Dans sa recommandation sur les mots de passe, la CNIL préconise, afin de s’assurer qu’un mot de passe ne puisse être divulgué, que ce dernier « ne doit jamais être stocké en clair par le responsable du traitement. Lorsqu’il est conservé, tout mot de passe utile à la vérification de l’authentification doit être préalablement transformé au moyen d’une fonction cryptographique spécialisée » dont les caractères sont définis.
De plus, la formation restreinte de la CNIL avait déjà sanctionné des responsables de traitement conservant en clair des données personnelles.
Elle considère que le défaut de sécurité relatif à la robustesse et au stockage des mots de passe constitue un manquement d’autant plus grave que la commune, en tant qu’autorité publique, traite de nombreuses données de ses administrés. Certaines de ces données étant – de surcroît – sensibles, elle se doit de faire preuve d’exemplarité en matière de sécurité des données.
En conséquence, la CNIL a prononcé une amende contre la commune.