L’une des missions de la CNIL est d’effectuer des contrôles. Ces contrôles se font à partir de plaintes reçues, de l’actualité, et sur des thématiques prioritaires qu’elle choisit elle-même.
En 2022, les 3 thèmes sont : la prospection commerciale, les outils de surveillance dans le cadre du télétravail et les services de cloud.
La CNIL a sanctionné la société MONSANTO pour l’absence de garanties contractuelles devant encadrer les relations avec un sous-traitant, ici son agence de relations publiques et le non-respect de l’obligation d’information des personnes de l’enregistrement de leurs données dans ce fichier, les empêchant ainsi d’exercer leurs droits
Brico Privé, e-commerçant appartenant au pôle équipement de la maison du groupement Les Mousquetaires, est condamné par la CNIL à verser 500 000 € pour manquements au RGPD, aux règles sur les cookies (et pour envoi d’e-mails de prospection commerciale sans consentement.
La CNIL a rendu public, jeudi 3 juin, son troisième avis adressé au Parlement après avoir effectué 32 contrôles, depuis le mois de mai 2020, sur les dispositifs mis en place dans le cadre de la crise sanitaire.
Cinq outils sont utilisés par l’État, seul le fichier Contact COVID, mis en œuvre par la Caisse nationale d’Assurance Maladie (CNAM), n’est toujours pas conforme au RGPD.
Des manquements dans les pratiques d’une des deux ARS contrôlées ont été constatés, notamment sur la durée de conservation des données et l’information des personnes concernées
En conséquence, la présidente de la CNIL, Marie-Laure Denis, a mis en demeure cette ARS qui a deux mois (à compter de la décision du 27 mai 2021) pour se conformer aux exigences du RGPD.
Il s’agit de la seconde mise en demeure adressée à une ARS pour une mauvaise gestion des systèmes d’information en temps de pandémie.
Concernant les autres dispositifs :
TousAntiCovid, l’application mobile de suivi de contacts basée sur le volontariat, s’est récemment enrichie de nouvelles fonctionnalités prises en compte par la CNIL, comme le carnet numérique “TousAntiCovid Carnet” , qui permet de présenter depuis son smartphone, les certificats de vaccination ou de résultats de tests de dépistage et “TousAntiCovid Signal“, cahier de rappel numérique pour les espace clos à partir du 9 juin.
La CNIL, qui n’a pas réalisé de contrôle de l’application depuis novembre 2020, indique avoir prévu de nouvelles vérifications axées sur la conformité en matière de protection des données de ces nouvelles fonctionnalités.
Quarantaine et Isolement, fichier limité à deux aéroports, la CNIL dit rester vigilante. Mis en place le 12 mai dernier, il assure le suivi et le contrôle du respect des mesures de quarantaine ou d’isolement lors de l’arrivée sur le territoire national de personnes provenant d’un pays où l’on considère l’épidémie comme active.
SI-DEP (Système d’information de dépistage), fichier de centralisation des résultats des tests de dépistage de la Covid-19 réalisés en laboratoires ou pharmacies. La CNIL, qui avait adressé des remarques a désormais donné son feu vert.
VACCIN COVID, fichier, de suivi et de pilotage des campagnes vaccinales contre la Covid-19.
Géré par la Direction générale de la Santé et la Caisse nationale d’Assurance maladie, la CNIL, a apprécié le chiffrement des données de traitement et l’authentification forte nécessaire à l’accès au téléservice. L’autorité estime aussi que les patients reçoivent des informations claires et complètes dans les centres de vaccination.
La CNIL va poursuivre ses contrôles pendant toute la période d’utilisation des fichiers, en veillant notamment à vérifier la suppression effective des données.
Pour en savoir plus : CNIL
Pour ne pas avoir respecter les délais de 72h pour déclarer à l’autorité de contrôle une fuite de données, Booking.com a été sanctionné.
Booking.com, site de réservation d’hôtels basé aux Pays Bas a notifié l’autorité néerlandaise, l’équivalent de la CNIL, d’une fuite de données, seulement 22 jours après l’avoir découverte au lieu des 72h requises.
L’AEPD – l’autorité nationale espagnole – condamne la banque ABANCA Corporatión Bancaria à une sanction de 3000 € pour dépôt de cookies non essentiels sans recueil préalable de consentement.
L’AEPD a rendu publique, le 29 mars 2021, sa décision de sanctionner ABANCA Corporatión Bancaria d’une amende de 3 000 euros à, pour dépôt de cookies non essentiels sans recueil préalable du consentement des internautes.
Les amendes émises au titre de la non-conformité au RGPD ont repris de plus belle cet été. En tête en nombre de condamnations, l’Espagne et l’Italie. Un montan record pour un opérateur téléphonique: 14M € en Italie.