Appelez-nous au Mission RGPD, le logiciel RGPD de référence 04 28 70 91 81

La CNIL n’a décidément pas chômé sur cette fin d’année 2022. 3 décisions ont été rendues, et pas des moindres : DISCORD, EDF et FREE ont été condamnées respectivement à 800 000, 600 000 et 300 000 euros d’amende.  

Nos juristes ont eu le plaisir de se plonger dans la prose de chacune de ces décisions (non vraiment n’y voyez aucune ironie de notre part). Si la CNIL fait l’effort d’être de plus en plus didactique et d’expliquer ses décisions de la manière la plus claire possible, il n’en demeure pas moins que cela reste obscure pour le plus grand nombre. Nous avons pensé à vous, patrons de PME et ETI, référents RGPD ou autre DPO désigné volontaire. Vous n’avez sans doute pas le temps ou la connaissance juridique extensive du RGPD nécessaire pour lire ces décisions. 

Du soupçon initial au contrôle 

La CNIL se saisit souvent des dossiers à la suite de plaintes de personnes concernées restées insatisfaites à la suite d’une demande d’exercice de droits (EDF, FREE) ou des notifications de violation de données qui laissent suspecter des défauts de conformité (FREE).  D’où l’importance d’une gestion du risque RGPD. Appliquer une procédure d’exercice de droits, c’est essentiel ! (Psst un conseil : vous pouvez le faire hyper facilement avec notre plateforme, grâce à son mode guidé et collaboratif et nos modèles dédiés). Idem pour les enjeux de sécurité : respecter le RGPD, c’est diminuer de 80% vos chances de subir une cyber-attaque. 

Histoire de vérifier les soupçons initialement soulevés, la CNIL – avant de déployer des contrôles extensifs et coûteux – commence souvent par procéder à un contrôle à distance incognito (DISCORD, EDF).
Nous ne le répèterons jamais assez, votre site internet est la vitrine de votre conformité !
Commencez par là, c’est essentiel. En cas de contrôle en ligne, si la CNIL relève des manquements, vous vous exposez à un contrôle sur pièces voire même sur place.
Vous ne savez pas comment faire ? Avec Mission RGPD, profitez de notre audit dédié à ce sujet et tous les modèles de documents dont vous avez besoin. 

Prospection commerciale : la preuve du consentement 

Dans les décisions EDF et FREE, la CNIL rappelle l’obligation d’être en mesure d’apporter la preuve du consentement lorsque celui-ci constitue la base légale du traitement. C’était le cas ici en matière de prospection commerciale par voie électronique. Il s’agissait d’une hypothèse de collecte indirecte, avec l’intervention d’un courtier de données.  

Malgré le recours à un prestataire, pas question de se contenter : 

  • De clauses contractuelles aux termes desquelles le prestataire s’engage à recueillir le consentement au nom et pour le compte du responsable du traitement, 
  • D’un modèle de formulaire faisant état du recueil du consentement. 

Il convient de vérifier par des audits la conformité du prestataire, et de s’assurer que la preuve rapportée du consentement est individuelle (prospect par prospect !).
Avec Mission RGPD, auditez facilement vos prestataires grâce à nos questionnaires prêts à l’emploi. 

Attention également lorsque l’on délègue le recueil du consentement au prestataire qui collecte la donnée, ce dernier doit recueillir un consentement éclairé faisant apparaitre l’exhaustivité des finalités poursuivies, ainsi que l’identité du prospecteur pour le compte duquel il réalise la collecte (via un lien hypertexte qui renvoie vers une liste des prestataires régulièrement mis à jour).  

Pas d’approximation dans l’information des personnes

En cas de collecte indirecte (par exemple : un prestataire collecte des contacts de prospects qu’il vous adresse pour réaliser vos opérations de prospection), le responsable du traitement doit communiquer la source des données dès la première communication. Pas de généralité possible, il convient de communiquer l’identité exacte de la source, que ce soit lors de l’information des personnes mais également en cas de demande relevant du droit d’accès. Pas de possibilité de se cacher derrière le secret des affaires (FREE a essayé mais sans succès). Exit aussi la communication d’informations erronées lors de demande de droit d’accès sur le sujet (EDF).

Pas de possibilité non plus de noyer le poisson en matière de base légale : le responsable du traitement doit choisir une seule base légale par finalité. La CNIL relève également qu’il n’est pas possible de lister de manière générale les bases légales applicables. 

Idem pour les durées de conservation (EDF et DISCORD), sont jugées trop imprécises les mentions du type « Nous conservons généralement les données personnelles le temps nécessaire aux fins définies dans ce document. Pour nous débarrasser des données personnelles, nous pouvons les rendre anonymes, les supprimer ou prendre d’autres mesures nécessaires. Il est possible que des données persistent quelque temps sous la forme de copies de sauvegarde ou à des fins commerciales » (DISCORD).

Pour informer les personnes sur les durées de conservation, il convient de distinguer les différentes périodes de stockage, en fonction des catégories de données et des finalités (notamment d’archives).

La CNIL, intraitable sur les exercices de droits 

Pas de réponse par téléphone, pas de retard acceptable dans les délais de réponses. Peu importe le contexte dans lequel le manquement intervient (erreur humaine isolée ou période de crise sanitaire comme chez EDF), la CNIL est intraitable sur le sujet.

Petit rappel également, une demande d’exercice de droits ne doit pas nécessairement faire référence au RGPD pour être considérée comme telle. FREE a commis cette erreur en considérant que les demandes d’effacement d’un compte de messagerie gratuit (via un formulaire dédié) relevaient d’une demande de résiliation dans un contexte légal d’obligation de conservation des données. Même si cette demande n’impliquait pas l’effacement de toutes les données , il n’en demeure pas moins que les statuts des comptes concernés demeuraient actifs et la messagerie électronique encore accessible plusieurs années après la demande.  

La sécurité : vos mots de passe ?!*$ 

Il s’agit d’un point commun aux trois décisions, le défaut de sécurité des mots de passe avec les manquements suivants : 

  • Des mots de passe jugés trop simples et insuffisamment complexes chez DISCORD , 
  • Du côté de EDF : l’utilisation résiduelle sur environ 25 000 comptes d’une fonction de hachage obsolète depuis 2004, aboutissant à une conservation non sécurisée des mots de passe ! La CNIL se prévaut de ses recommandations, de celles de l’ANSSI et même de certaines de ses décisions sur le sujet. D’où l’importance de se tenir au courant des actualités de l’autorité de contrôle. Je le reconnais c’est un travail fastidieux, c’est pour cela que MISSION RGPD le fait pour vous avec sa veille juridique et la mise à jour régulière de ses ressources documentaires. 
  • Chez FREE ce sont les conditions de création du 1er mot de passe qui posent problème, il est :
    • Généré automatiquement avec des règles de complexité insuffisantes, 
    • Communiqué en clair à l’utilisateur (par mail ou par courrier),
    • Stocké en clair dans la base (directement accessible par les administrateurs au sein de la société ou par un pirate en cas d’attaque).

Ces mesures étaient clairement insuffisantes au regard du risque encouru en cas d’accès illégitime au compte de l’utilisateur (nom, prénom, numéro de téléphone, mails, factures, relevés de consommation, modification des options ou du mot de passe). 

La CNIL rappelle que si ses recommandations n’ont pas un caractère impératif, il n’en demeure pas moins qu’elles correspondent à l’état de l’art en la matière.

Nous en profitons pour vous rappeler qu’une nouvelle recommandation en matière de mots de passe a été publiée par la CNIL en automne 2022 afin notamment de remplacer la version de 2017 et intégrer les dernières évolutions de l’ANSSI en la matière.
Quelques changements notables : 

  • Le changement régulier des mots de passe n’est plus recommandé (sauf pour les comptes administrateurs), 
  • Un niveau de complexité des mots de passe accru (les conditions varient en fonction de l’association du mot de passe à des mesures techniques supplémentaires telles que des restrictions d’accès). 

Vous voulez en savoir plus ? C’est par ici que cela se passe.

La sécurité : documentez vos incidents de sécurité 

Chez FREE, la CNIL rappelle l’obligation de documenter les violations de données. Même si un registre des incidents n’est pas une obligation en soi, il n’en demeure pas moins qu’une documentation particulière dédiée au sujet est indispensable afin de notamment évaluer le risque et de mesurer l’efficacité des mesures prises pour remédier à l’incident.

Pour rappel, l’incident en question avait donné lieu à une notification de violation de données à l’origine de la procédure de contrôle objet de la décision.  « 4100 Freebox avaient été remises en circulation sans que leur reconditionnement ne soit effectif (en raison d’une double erreur humaine), c’est-à-dire sans que les données du précédent abonné ne soient effacées du disque dur de la Freebox ». 

Manquements à des principes jusqu’alors peu relevés

Au-delà des classiques manquements à la sécurité ou aux droits des personnes, la CNIL relève des manquements au principe de privacy by design (vous ne vous rappelez plus de cette notion ?  Pas de panique, retrouvez notre 1 minute pour tout comprendre sur le sujet ainsi que notre article dédié pour vous rafraichir la mémoire). 

Pour DISCORD, la CNIL reprochait que l’utilisation d’une croix pour mettre en arrière-plan l’application induisait en erreur les utilisateurs qui pouvaient croire qu’ils avaient fermé la solution alors que celle-ci continuait à enregistrer leur voix.  

Elle recommande : 

  • D’informer les personnes de cette spécificité, ou 
  • De modifier le paramétrage par défaut de l’application (que celle-ci ne soit pas quittée lorsque la fenêtre principale est fermée) afin que par défaut le comportement de réduction en arrière-plan ne soit pas activé et que ce soit à l’utilisateur de le paramétrer manuellement. 

Toujours chez DISCORD, la CNIL relève l’absence de rédaction d’une analyse d’impact malgré les deux critères de risque (personnes vulnérables à savoir des mineurs même de plus de 15 ans et traitement à grande échelle).  

Avec Mission RGPD et son registre intelligent ne passer plus à côté de vos obligations en matière d’analyse d’impact (PIA ou AIPD pour les intimes). 

Une autorité de contrôle à l’écoute mais intransigeante

Dans ces trois décisions, la CNIL apparait à l’écoute des sociétés contrôlées et des remarques qu’elles ont apportées, suite à la communication du rapport de manquements qui leur est adressé en fin de contrôle.  

Elle reconnait et écarte des manquements relevés par le rapporteur en retenant certaines des explications apportées, par exemple : 

  • Un document erroné fondant un manquement en matière de preuve du consentement sur une campagne de prospection commerciale d’EDF, 
  • Une erreur technique chez DISCORD empêchant momentanément la traduction en français de la politique de confidentialité sur le site internet (manquement identifié lors du contrôle en ligne). 

Elle concède également le caractère non systémique des manquements pour évaluer le montant de la sanction en prenant notamment en compte les erreurs humaines survenues en matière d’exercice de droits (Free 2 sur 600) ou le nombre de plaintes en rapport au nombre d’utilisateurs (toujours chez Free, 10 sur environ 6,9 millions). Elle retient cependant les manquements observés à ce titre.

De la même manière, la CNIL prend en considération la coopération des sociétés et les efforts qu’elles ont déployés pour se mettre en conformité en cours de procédure. Cependant cet effort permet seulement d’abandonner le prononcé d’injonctions de mise en conformité dans un délai fixé, assorties du paiement d’une astreinte. Mais attention, dans le cas de FREE, la CNIL a constaté que cette dernière ne s’était pas mise en conformité sur un seul des manquements relevés. Elle a en conséquence prononcé concernant ledit manquement une injonction de mise en conformité sous un mois, passible d’une astreinte de 500 euros par jour de retard.  

Ce comportement s’inscrit dans la volonté de prononcer des amendes dissuasives mais proportionnées, en tenant compte : 

  • Du chiffre d’affaires de la structure,  
  • Du caractère important de l’acteur dans son domaine d’activité, ainsi que
  • De « la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation. » 

La CNIL apparait dans ces décisions précises et claires dans ses raisonnements, à l’écoute et mesurée, tout en restant intransigeante dans l’application des principes de protection des données personnelles. 

A bientôt pour une prochaine session de décryptage des décisions de la CNIL.  


Ressources complémentaires à l’article

Privacy by Design

Lire l’article : RGPD : Comment mettre en oeuvre le privacy by default et privacy by design ?

Les sanctions prononcées par la CNIL dans le détail

`
Votre diagnostic RGPD en 5 min 🚀

Êtes-vous sûr de votre conformité ? 

Pour savoir où vous en êtes, faites votre diagnostic gratuit en ligne, en répondant au questionnaire, pour obtenir votre niveau de maturité RGPD et les recommandations de nos experts.