10 cas de violations du RGPD qui ont fait l’objet d’une condamnation

Sur une année seulement, on dénombre une augmentation de 20% des personnes touchées par une violation de données personnelles, selon un baromètre intitulé « data breach 2021 » réalisé par le FIC (le Forum International de la Cybersécurité) en partenariat avec les cabinets de conseil PWC et Bessé et la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL »), publié le 22 juin 2021.

Une moyenne de 7 violations sont recensées par jour. Le FIC note que « cette augmentation constante (…) témoigne à la fois de la progression des usages numériques, de la prise de conscience croissante des utilisateurs qui notifient davantage les incidents et d’une cybercriminalité qui progresse fortement ». 

La CNIL a effectué plusieurs condamnations de grandes entreprises depuis le début de l’année 2021 et le montant des amendes infligées à ces entreprises démontre une volonté de dissuader les entreprises de la même taille aux violations du Règlement Général de Protection des Données Personnelles (ci-après « RGPD »).  

Le RGPD prévoit des amendes lorsque des violations aux dispositions sont constatées. Celles-ci peuvent alors s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires de la société concernée. Par ailleurs, des sanctions pénales peuvent également être prononcées, si nécessaire. 

Afin de souligner les différentes violations, nous avons recensés 10 cas importants ayant fait l’objet d’une condamnation par la CNIL. 

LE FIGARO 

Le 29 juillet 2021, la CNIL a sanctionné le Figaro à hauteur de 50.000 euros d’amende en raison du dépôt de cookies publicitaires sur son site www.lefigaro.fr sans recueil du consentement préalable des internautes. 

Après avoir réalisé des contrôles entre 2020 et 2021, la Commission a constaté que : « lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur par des partenaires de la société, sans action de sa part ou malgré son refus. Plusieurs de ces cookies poursuivaient un objectif publicitaire et auraient dû être soumis au consentement de l’utilisateur. »

Au sein de son rapport, la CNIL précise que le fait que les cookies proviennent de partenaires n’affranchit pas l’éditeur du site de sa propre responsabilité dans la mesure où il a la maîtrise de son site et de ses erreurs. 

Enfin, la Commission met en valeur la responsabilité qui incombe à la société : une obligation de moyens et que celle-ci n’y avait pas satisfait.

GOOGLE LLC et GOOGLE IRELAND LIMITED 

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant à hauteur de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante 

La CNIL a effectué un contrôle, en date du 16 mars 2020, sur le site web www.google.fr permettant ainsi que constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient déposés automatiquement sur son ordinateur, sans action de sa part. 

Au sein des cookies recensés, plusieurs d’entre eux poursuivaient un objectif publicitaire. 

La CNIL a relevé trois violations envers l’article 82 de la loi Informatique et Libertés, à savoir : 

• Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur ;

• Un défaut d’information des utilisateurs du moteur de recherche google.fr ;

• La défaillance partielle du mécanisme « d’opposition ».

Focus sur la sanction 

La formation restreinte de la CNIL a sanctionné la société GOOGLE LLC à une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED à une amende de 40 millions d’euros. 

Les montants susvisées sont justifiés au regard des trois violations de l’article 82 de la loi Informatique et Libertés. 

Par ailleurs, le moteur de recherche important en France a affecté près de cinquante millions d’utilisateurs. 

Enfin, le bandeau d’information des cookies ne permettait pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuses ces cookies. 

Eu égard à ces précisions, la formation restreinte a adopté une injonction sous astreinte afin que les sociétés GOOGLE procèdent à une information des personnes conformément à l’article 82 de la loi Informatique et Libertés dans un délai de trois mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100.000 euros par jour de retard. 

MONSANTO (Groupe BAYER)

Le 28 juillet 2021, la CNIL a rendu publique l’amende de 400.000 euros infligée à la société Monsanto pour ne pas avoir informé les personnes dont les données étaient enregistrées dans un fichier à des fins de lobbying. 

Au sein de fichier, étaient répertoriées les données personnelles de plus de deux cent personnalités politiques ou appartenant à la société civile (journalistes, militant écologistes, scientifiques, agriculteurs) susceptibles d’influencer le débat ou l’opinion publique sur le renouvellement de l’autorisation du glyphosate en Europe. 

Il contenait notamment : des informations sur leur organisme de rattachement, le poste occupé, l’adresse professionnelle, le numéro de téléphone fixe professionnel, le numéro de téléphone portable, l’adresse de messagerie électronique professionnelle et, dans certains cas, le compte Twitter de la personne.

American Express Services Europe Limited (AMEX)

La CNIL britannique a infligé une amende de 90.000 dollars à la société American Express Services Europe Limited (AMEX) pour avoir envoyé plus de quatre millions d’emails marketing à des clients sans leur consentement. 

Les emails susvisés ont été envoyés entre le 1er juin 2018 et le 21 mai 2019 par AMEX à ses clients afin de les encourager à faire des achats sur leurs cartes ce qui engendre un profit important pour la société. 

L’ICO (la CNIL britannique) a déclaré dans un communiqué : 

« Notre enquête a été lancée à partir d’une poignée de plaintes de clients, fatigués d’être interrompus par des courriels qu’ils ne voulaient pas recevoir. J’encourage toutes les entreprises à revoir leurs procédures et à se familiariser avec les différences entre un e-mail de service et un e-mail de marketing, et à s’assurer que leurs communications par e-mail avec les clients sont conformes à la loi. »

AG2R LA MONDIALE

En 2019, la CNIL a effectué un contrôle auprès du groupe AG2R LA MONDIALE visant à vérifier la conformité des traitements mis en œuvre dans le cadre de sa mission de gestion des retraites complémentaires de salariés du secteur privé ainsi que de son activité assurantielle.  

La Commission a constaté que la société Groupe d’Assurance Mutuelle AG2R La Mondiale conservait les données de millions de personnes pendant une durée excessive et ne respectait pas les obligations d’information dans le cadre de campagnes de démarchage téléphonique. 

La formation restreint a considéré que la société avait manqué à deux obligations fondamentales prévues par le RGPD : 

• Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

• Un manquement à l’obligation d’information des personnes (articles 13 et 14 du RGPD). 

En conséquence, le groupe a été condamné à une amende de 1.750.000 euros.

La formation restreinte a par ailleurs pris acte des mesures de mise en conformité adoptées par la société concernant les deux manquements susvisés.

BRICO PRIVE 

Le 17 juin 2021, la formation restreinte de la CNIL a rendu publique une décision au sein de laquelle elle sanctionne fermement une grande société de bricolage : BRICO PRIVE. 

La CNIL a effectué plusieurs contrôles entre 2018 et 2021 auprès de cette société, qui édite le site de ventes privés bricoprive.com dédié au bricolage, au jardinage et à l’aménagement de la maison. Plusieurs manquements concernant le traitement de données personnelles des prospects et des client ont été détectés, au regard du RGPD et des la loi Informatique et Libertés. 

Sur la base des éléments découverts, la formation restreinte a prononcé une amende de 500.000 euros et a décidé de rendre sa décision publique. Par ailleurs, elle a enjoint la société BRICO PRIVE de mettre ses traitements en conformité avec l’article L. 34-5 du CPCE et l’article 5.1.e du RGPD ainsi que d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard. 

Les manquements recensés par la CNIL sont les suivants : 

• Manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

• Manquement à l’obligation d’information des personnes (article 13 du RGPD)

• Manquement à l’obligation de respecter le droit à l’effacement (article 17 du RGPD)

• Manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

• Manquement à l’obligation de recueillir le consentement des personnes à des fins de prospection commerciale par courriel (article L. 34-5 du CPCE)

• Manquement relatif aux cookies (article 82 de la loi Informatique et Libertés)

Focus sur la sanction 

La formation restreinte de la CNIL a prononcé à l’encontre de la société BRICO PRIVE une amende administrative d’un montant de 500.000 euros décomposée de la manière suivante : 

• 300.000 euros pour les manquements concernant les dispositions du RGPD ;

• 200.000 euros correspondant aux manquements du code des postes et des communications électroniques. 

Par ailleurs, la formation a prononcé une injonction de mettre en conformité les traitements dans les plus brefs délais avec imposition d’une astreinte pour chaque jour de retard comme indiqué ci-dessus. 

LE MINISTÈRE DE L'INTÉRIEUR

La présidente de la CNIL a décidé le 7 mai 2020 de faire procéder à des contrôles concernant l’usage des drones. 

Les questionnaires ont été adressés au ministère de l’Intérieur, à la préfecture de police de Paris ainsi qu’à un commissariat et un groupement de gendarmerie. Le ministère a indiqué clairement utiliser des drones équipés de caméras afin de s’assurer du respect des mesures de confinement, pour la surveillance de manifestations ou encore pour des missions de police judiciaire. 

En juillet 2020, la CNIL a fait procéder à un vol d’essai d’un des drones utilisés pour les finalités susvisées. Lors de cet essai, elle a pu constater que les personnes filmées par ce dispositif étaient susceptibles d’être identifiées, or ce traitement de données personnelles ne reposait sur aucune base légale et aucune analyse d’impact n’a été communiquée à la CNIL concernant l’utilisation de ces drones. En conséquence, la présidente de la CNIL a décidé d’engager une procédure de sanction à l’encontre du ministère de l’intérieur. 

Par ailleurs, même si le ministère indique avoir développé un mécanisme floutant l’image des personnes, ce dernier n’est intervenu qu’au mois d’août 2020 alors que de nombreux vols avaient été réalisés préalablement. 

Le 12 janvier 2021, la CNIL a sanctionné le ministère de l’intérieur pour avoir utilisé des drones équipés de caméras, de manière illicite, dans le but de surveiller le respect des mesures de confinement. 

Focus sur la sanction 

La formation restreinte de la CNIL n’a pas pu condamner l’Etat au paiement d’une amende, et a donc prononcé à l’encontre du ministère de l’Intérieur un rappel à l’ordre. En complément, la CNIL a enjoint au ministère de cesser, dans les meilleurs délais, toute utilisation de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles. 

GOOGLE BELGIUM SA 

La chambre contentieuse de l’Autorité de protection des données belge a infligé, par décision du 14 juillet 2020 une sanction de 600.000 euros à Google Belgium SA qui avait refusé de supprimer des liens de son moteur de recherche, se rapportant à des faits de harcèlement non démontrés à l’encontre d’un personnage politique belge. 

Pour rappel, cette affaire est similaire aux contentieux Google en France et c’est d’ailleurs à la lumière des décisions de la Cour de justice de l’UE que s’est prononcée l’Autorité belge. La chambre contentieuse a estimé que Google Belgium a commis de graves manquements en refusant le demande de déréférencement, compte tenu de l’ancienneté des faits qui n’ont d’ailleurs jamais été avérés, et de leur possible répercussion pour le plaignant. 

Ainsi que l’a déclaré le Président de la chambre contentieuse : «  en maintenant accessibles via son moteur de recherche largement utilisé par les internautes des liens qui peuvent causer d’importants dommages à la réputation du plaignant, Google a fait preuve d’une claire négligence. »

L’Autorité a ordonné à la société GOOGLE BELGIUM de : 

• mettre en conformité le traitement et de faire mettre en œuvre toutes mesures techniques efficaces afin de cesser les référencements litigieux, pour l’ensemble des autres sites internet du moteur de recherches dans toutes leurs versions linguistiques mais uniquement pour les utilisateurs les consultant depuis l’Espace Economique Européen ;

• de faire adapter les formulaires électroniques qu’elle met à disposition et communique aux utilisateurs qui utilisent ses services de moteur de recherches sur internet depuis le territoire belge, aux fins de déréférencement, en identifiant clairement et précisément quelle(s) entité(s) juridique(s) est(sont) responsable(s) du traitement et de quels traitements . 

WHATSAPP 

Le 3 septembre 2021, l’Autorité turque de protection des données a condamné WhatsApp à une amende d’environ 200.000 euros pour des manquements relatifs au RGPD. 

L’Autorité reprochait notamment à la société de :

• demander un consentement explicite aux utilisateurs pour le transfert de toutes leurs données personnelles, alors qu’elles n’étaient pas proportionnelles et limitées à la finalité pour laquelle elles étaient traitées ;

• ne pas indiquer clairement quelles données étaient transférées et dans quel but. 

Au regard de ses violations, l’Autorité a donc conclu que WhatsApp n’avait pas pris les mesures techniques et administratives permettant d’assurer le niveau de sécurité approprié afin d’empêcher le traitement illicite des données personnelles de ses utilisateurs. 

MEDECINS LIBERAUX

Le 7 décembre 2020, la formation restreinte de la CNIL a prononcé deux amendes de 3.000 euros et 6.000 euros à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la CNIL. 

La CNIL a constaté que des milliers d’images médicales hébergées sur des serveurs appartenant à ces médecins étaient librement accessibles sur Internet. Elle a retenu notamment un manquement à l’obligation de sécurité des données conformément à l’article 32 du RGPD, considérant qu’ils auraient dû assurer la protection des données et ne établir une configuration de leurs réseaux informatiques rendant alors les données librement accessibles sur Internet. 

Par ailleurs, il convenait de procéder à un chiffrement systématique des données personnelles hébergées sur leurs serveurs. La CNIL a également retenu un manquement aux dispositions de l’article 33 du RGPD au sein duquel il est indiqué l’obligation de notifier les violations de données à la CNIL. 

En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet. 

Ainsi, la CNIL recommande fortement de choisir des solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles.  

L’article 5 du RGPD intitulé « Principes relatifs au traitement des données à caractère personnel » énonce : « Les données à caractère personnel doivent être : (...) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence); […] » 

CARREFOUR FRANCE et CARREFOUR BANQUE

Plusieurs plaintes d’utilisateurs ont conduit la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des violations aux dispositions du RGPD.

La CNIL a infligé une amende de 2.250.000 euros à la société CARREFOUR FRANCE et une amende à hauteur de 800.000 euros à la société CARREFOUR BANQUE. 

A l’issue d’une enquête, la CNIL a constaté plusieurs manquements dont un concernant l’obligation de traiter les données de traiter des données. En effet, CARREFOUR BANQUE indiquait à son utilisateur la communication de plusieurs données personnelles dont son nom, son prénom et son adresse e-mail. La société indiquait explicitement qu’aucune autre donnée n’était transmise. 

Pourtant, la CNIL a constaté que CARREFOUR BANQUE transmettait également l’adresse postale, le numéro de téléphone et le nombre des enfants de la personne concernée. Ainsi, la société a été condamnée, entre autres manquements, pour le traitement de données personnelles de manière déloyale.