Actualité juridique

19 novembre 2018

Sanction RGPD : les premières amendes sont tombées !

La Cnil et ses homologues européens ont prononcé les premières sanctions sur le fondement du Règlement général sur la protection des données (RGPD).

Les premières sanctions RGPD sont tombées !

Sanctions RGPD : la première est portugaise 

La toute première sanction financière basée sur le RGPD en Europe vient du Portugal. Le CNPD (Comissao nacional de proteçao de dados, l’équivalent de la Cnil française) a infligé début novembre une sanction financière de 400 000 euros au Centre hospitalier Barreiro-Montijo. Le problème principal concernait les données de santé des patients de l’hôpital, auxquelles avaient accès évidemment les médecins concernés, mais aussi plusieurs centaines de médecins vacataires et temporaires, ainsi que du personnel administratif. Le CNPD, en créant un « compte-test », avait également pu avoir accès à l’ensemble des données des patients, montrant une faiblesse dans la gestion des comptes et des accès aux bases de données.

Or, le RGPD oblige les responsables de traitement à limiter les accès aux données personnelles aux personnes directement concernées par le traitement, dans le cadre de leurs fonctions par exemple.

Sanctions RGPD : et la France ? 

Depuis le 25 mai 2018, date d’entrée en vigueur du RGPD, la Cnil a déjà eu l’occasion de sanctionner plusieurs entreprises pour des faits antérieurs au règlement européen. Pour autant, on avait pu constater un durcissement des sanctions financières, certainement pour s’aligner dès à présent sur les futures règles en matière de protection des données personnelles.

Le premier contrôle mené par la Cnil depuis l’entrée en vigueur du RGPD a été rendu public fin octobre. La société Singlespot avait collecté des données de géolocalisation d’individus afin de leur proposer de la publicité ciblée en fonction de leur position, mais aussi de leurs intérêts.

La Cnil a reproché à Singlespot de n’avoir pas respecté l’obligation de base légale, notamment en n’informant pas les personnes concernées que leurs données étaient collectées. Aussi, elle a constaté que la durée de conservation de ces données de géolocalisation n’était pas proportionnée vis-à-vis de la finalité du traitement, et que plusieurs défauts de sécurisation avaient été constatés dans les systèmes d’information de Singlespot.

La Cnil a ainsi ordonné la suppression de toutes les données collectées par Singlespot sans le consentement des personnes, c’est-à-dire potentiellement près de 14 millions d’enregistrement. Elle a également imposé la suppression de certaines données de géolocalisation collectées en dehors de zones de points d’intérêts, ainsi qu’une amélioration de la sécurisation des systèmes informatiques de l’entreprise.

La Cnil a mis en demeure Singlespot de se conformer à la loi et au RGPD dans un délai de 3 mois.

 

Sanctions RGPD française : c’est pour bientôt !

Il y a quelques jour à peine, le 9 novembre 2018, la Cnil a mis en demeure la société Vectaury, éditrice française de “trackers”, de corriger ses pratiques. Ces “mouchards” étaient intégrés dans des applications pour mobiles et permettaient de collecter les identifiants publicitaires des smartphones et des données de géolocalisation.

Problème : les personnes concernées n’étaient pas vraiment informées de cette collecte, et leur consentement n’avait pas été demandé.

La Cnil a donc demandé à Vectaury de supprimer toutes les données “indûment collectées”, dans un délai de 3 mois.

Bientôt la première sanction RGPD française ?

Deshoulières Avocats vous accompagne à toutes les étapes de votre mise en conformité au RGPD.

Bouton Devis final