Retour sur les sanctions de la Cnil en 2022 : quels éclairages pour les programmes de conformité en 2023 ?

La Cnil a prononcé de nombreuses sanctions en 2022 qui donnent un éclairage intéressant sur le contenu et l’évolution des actions et programmes de conformité à mettre en œuvre en matière de protection des données personnelles. Ces délibérations témoignent aussi des évolutions du droit de la protection des données et de la montée en puissance des problématiques suscitées (par exemple en droit de la santé ou en droit social). Passage en revue de certains aspects de ces sanctions.

Tout d’abord, il est intéressant de noter que le cadre applicable à la prospection commerciale - notamment au recueil du consentement – a continué à faire l’objet de plusieurs délibérations et d’une attention forte. Prospection commerciale qui faisait l’objet du programme de contrôles de la Cnil en 2022. Ainsi dans les délibérations FREE et EDF, la Cnil a rappelé les impératifs liés au consentement et pointé notamment l’absence de preuve individuelle du consentement des personnes concernées. Avec en corollaire l’absence d’éléments de preuve d’un consentement « éclairé ». 

De plus, de nombreux manquements à l’obligation d’assurer la sécurité des données personnelles ont continué à donner lieu à des sanctions prononcées par la Cnil (et notamment dans ses délibérations Dedalus Biologie, Infogreffe, Free ou Discord). À cette occasion, de nombreux aspects ont été pris en compte (absence de robustesse des mots de passe, défaut dans le stockage et la transmission des mots de passe, accès des utilisateurs, évaluation et analyse des mesures techniques, anonymisation des données, contrôle des sous-traitants…). En lien avec les défauts relevés en matière de sécurité des données, l’absence de documentation des violations de données personnelles a également donné lieu à sanction, ce qui souligne en creux la nécessité de formaliser le signalement des incidents de sécurité et les conditions permettant de caractériser ou non l’existence de violations. Le défaut de contrôle des sous-traitants et les carences en termes de sécurité des données ont aussi été relevés.

Il faut souligner également que la Cnil a pris en compte pour la première fois (dans sa délibération Discord) les motifs ayant conduit ou non à la réalisation d’analyses d’impact, au vu des critères de l’article 35 du RGPD, des lignes directrices du G29 et des circonstances précises en cause. En sanctionnant en l’espèce l’absence de réalisation d’analyses d’impact lorsque leur réalisation préalable était impérative. 

Par ailleurs, de nombreux manquements aux obligations d’information et de transparence et d’exercice des droits ont aussi été constatés, qui permettent de définir plus précisément le contenu de ces derniers droits. C’est le cas notamment au regard des durées de conservation des données. À ce titre, la formation restreinte de la Cnil a relevé qu’une information générique et non explicite caractérisait un défaut d’information. C’est-à-dire que l’absence de dispositions précises et de durées fixées en fonction des catégories de données traitées dans une politique de confidentialité ou un document d’information n’est pas conforme et sera susceptible d’être sanctionnée. 

L’obligation de respecter le droit d’accès résultant de l’article 15 du RGPD a été soulignée, la Cnil rappelant notamment que les informations fournies doivent être les plus précises possible, ces dernières devant aussi être fournies dans les délais prévus. Avec ainsi un rappel de la nécessité de mettre en place des procédures adéquates pour gérer les demandes de droit d’exercice des droits dans les délais prévus… La Cour de Justice de l’Union européenne a d’ailleurs rappelé que ces informations devaient inclure la liste exhaustive des destinataires des données fournies, avec leur identité précise de nature à permettre un réel exercice du droit d’accès. 

À noter encore une référence à l’obligation de garantir la protection des données par défaut, conformément à l’article 25§2 du RGPD dans la délibération Discord qui témoigne de la méthode d’interprétation et d’analyse par la Cnil des fonctionnalités de l’application en cause (description détaillée de l’application, comparaison avec des applications similaires, interprétation des attentes des utilisateurs…). Avec, là encore, un focus à apporter sur la prise en compte de ce principe.

Ce panorama n’est pas exhaustif mais témoigne de certains points d’attention pour 2023, alors que la Cnil a eu l’occasion de signaler que ces actions de mise en conformité ne sauraient être retardées ou décalées. Autant d’aspects à prendre en compte, alors que l’actualité des prochains mois devrait être étoffée (transferts internationaux, coopération entre autorités nationales, garanties procédurales, etc.). 

Pourquoi des paroles de DPO ?

Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.