Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La CNIL a prononcé neuf nouvelles sanctions dans le cadre de la procédure simplifiée

juin 2024 par CNIL

Minimisation des données, cookies, traitements illicites, sécurité des données ou encore non coopération et non réponse à une demande d’exercice des droits : les neuf nouvelles sanctions confirment la diversité des manquements sanctionnés par la CNIL dans le cadre de sa procédure simplifiée.

Depuis mars 2024, la CNIL a rendu neuf nouvelles décisions de sanctions (dont deux liquidations d’astreinte) dans le cadre de sa procédure simplifiée pour un montant total de 83 000 euros.

Les principaux manquements retenus sont :

un manquement relatif aux traitements illicites (diffusion d’une vidéo promotionnelle comportant des données sensibles ; publication sur un site web des nom et prénom de personnes radiées d’une association) ;

un manquement à la minimisation des données (commentaires excessifs ; enregistrement de conversations téléphoniques systématique et en intégralité dans un centre d’appel) ;

un manquement concernant l’utilisation des cookies (absence de moyens permettant de refuser les cookies aussi facilement que de les accepter) ;

un défaut de coopération avec la CNIL ;

un défaut de sécurité des données (mot de passe insuffisamment robuste, stockage des mots de passe en clair, absence de politique d’habilitation) ;

un non-respect des droits des personnes (exercice du droit d’accès à un dossier médical) ;

un manquement à l’information des personnes.

Un manquement au principe de minimisation

Dans le cadre de la gestion d’un centre d’appel pour assurer le secrétariat de professionnels, une société a procédé à l’enregistrement systématique de la totalité des conversations des appels entrants et sortants entre les télésecrétaires, les patients et les professionnels à des fins de formation, d’évaluation et en cas de litige éventuel.

Or, la mise en place d’un enregistrement ponctuel et aléatoire permet de disposer des éléments nécessaires pour la formation des salariés. Un enregistrement systématique et en totalité des conservations n’apparaît pas davantage nécessaire pour la bonne exécution du service ni en vue d’éventuelles réquisitions juridiciaires.

La CNIL a donc prononcé une amende contre cette société.

Un manquement relatif à un traitement illicite

Une société exerçant dans le cadre de la programmation informatique et de l’intelligence artificielle a diffusé sur son site web et sur les réseaux sociaux une vidéo promotionnelle utilisant des images de dossiers de patients d’un de ses clients. Ces images, qui comportaient les nom, prénom, genre et parfois l’adresse et le numéro de téléphone des patients, ont été utilisées sans le consentement des personnes concernées.

La diffusion de l’identité des patients révélant des informations médicales nécessite le consentement explicite de la personne concernée, en application de l’article 9 du RGPD.

Or, la société n’avait pas recueilli le consentement explicite des personnes. En outre, en vertu de l’article L. 1110-4 du code de la santé publique, la société était soumise au secret professionnel sans pouvoir y déroger.

Il s’agit d’un traitement illicite de données au regard de l’article 5.1 a) du RGPD.

La CNIL a donc prononcé une amende contre cette société.

Un manquement relatif aux cookies

À l’occasion d’un contrôle en ligne, la CNIL a constaté que le site web d’une société ne proposait pas de moyen permettant à l’utilisateur de refuser les cookies avec le même degré de simplicité que celui pour en accepter l’usage. Le site permettait, par la présence d’un bouton, d’accepter tous les cookies immédiatement. Mais pour les refuser, il fallait cliquer sur les paramètres puis accéder à une interface pour activer ou désactiver les cookies.

Le site ne présentait donc aucun moyen analogue pour refuser facilement en un seul clic le dépôt des cookies.

Un tel mécanisme est contraire aux exigences légales du consentement requises à l’article 82 de la loi Informatique et Libertés.

La CNIL a prononcé une amende contre cette société.

Pour approfondir

Les procédures de sanction
Tous les contenus de la CNIL sur la santé
Tous les contenus de la CNIL sur le travail et le recrutement
Tous les contenus de la CNIL pour les partis politiques et les candidats
Tous les contenus de la CNIL sur la sécurité des données


Voir les articles précédents

    

Voir les articles suivants