L’année 2020 a été marquée par plusieurs décisions majeures de la Commission Nationale de l’Informatique et des Libertés (CNIL) concernant des sanctions à l’égard d’entreprises pour non-respect du Règlement Général sur la Protection des Données (RGPD). Dans cet article, nous étudierons ces cas afin de tirer des leçons pour les entreprises souhaitant éviter des erreurs similaires. Nous aborderons également les améliorations apportées au RGPD depuis son entrée en vigueur en 2018.
Étude des principaux manquements constatés
Chaque sanction de la CNIL est instructive pour toutes les organisations qui manipulent des données personnelles, car elle met en évidence des domaines où une vigilance accrue est nécessaire. Voici quelques-uns des principaux manquements qui ont conduit aux sanctions de 2020 :
- Non-respect de la durée de conservation des données
- Absence de tri des données collectées
- Mauvaise gestion des droits d’accès et de portabilité
- Non-respect des règles relatives aux cookies
Conservation excessive des données personnelles
L’un des manquements les plus courants identifiés en 2020 est celui de la conservation excessive des données personnelles. En effet, le RGPD impose aux entreprises de ne conserver les données que le temps nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées.
Par exemple, en octobre 2020, une entreprise française a été sanctionnée pour avoir conservé des données liées à des contrôles d’accès dès 2006 alors qu’elle aurait dû les supprimer après un délai maximal de deux ans et demi. Cette sanction rappelle donc l’importance cruciale de mettre en place des procédures internes permettant d’assurer le suivi de la durée de conservation et la destruction effective des données lorsqu’elle est échue.
Absence de tri des données collectées
Une autre infraction fréquemment constatée en 2020 concerne la collecte excessive de données personnelles. En effet, le principe de minimisation des données impose aux entreprises de ne collecter que les informations strictement nécessaires pour atteindre leurs objectifs.
Ainsi, plusieurs sanctions ont été prononcées contre des entreprises ayant collecté et stocké des données qui n’étaient pas directement pertinentes pour leur activité ou qui n’avaient pas été préalablement anonymisées, rendant ainsi possible l’identification des personnes concernées.
Gestion insuffisante des droits d’accès et de portabilité
Egalement sur la sellette en 2020, la gestion des droits d’accès et de portabilité des données personnelles. Plusieurs sanctions ont été prononcées pour défaut de traitement des demandes d’exercice des droits des personnes concernées dans les délais requis par le RGPD ou pour absence de réponse complète à ces demandes.
Ceci met en lumière l’importance pour les entreprises de mettre en place des procédures claires et efficaces pour traiter rapidement et correctement ces demandes, afin d’éviter de potentielles sanctions futures.
Non-respect des règles relatives aux cookies
Enfin, dernière illustration des manquements constatés en 2020, le non-respect des règles relatives à l’utilisation des cookies. Les entreprises sont tenues d’obtenir le consentement préalable des utilisateurs avant de déposer des cookies sur leur terminal. Or, plusieurs décisions de la CNIL ont pointé du doigt des pratiques contraires au RGPD, comme :
- Le dépôt de cookies publicitaires avant même que l’utilisateur ait donné son accord
- L’absence de possibilité de refuser certains cookies aussi simplement que de les accepter
- La collecte de données de géolocalisation sans consentement explicite
Pour éviter ce type de problèmes, les entreprises doivent s’assurer de se conformer aux recommandations de la CNIL en matière de gestion des cookies et autres traceurs.
Comment les entreprises peuvent-elles intégrer ces enseignements ?
Les enseignements tirés des sanctions de la CNIL en 2020 offrent un éclairage essentiel pour les entreprises soucieuses d’éviter d’être sanctionnées à leur tour. Parmi les bonnes pratiques à mettre en œuvre :
- Mettre en place des procédures de gestion de la durée de conservation des données
- Veiller à ne collecter que les données strictement nécessaires et à assurer un tri régulier
- Organiser une gestion efficace des droits d’accès, d’opposition et de portabilité des données personnelles
- Respecter scrupuleusement les règles relatives aux cookies
- Nommer un Délégué à la Protection des Données (DPO)
- Sensibiliser les collaborateurs aux exigences du RGPD
- Réaliser régulièrement des audits de conformité au RGPD
Pour aller plus loin, les entreprises peuvent aussi s’appuyer sur l’Autorité de certification EuroPrivacy pour obtenir des garanties supplémentaires quant au respect des réglementations liées à la protection des données personnelles.
Améliorations apportées au RGPD depuis son entrée en vigueur
Depuis l’entrée en vigueur du RGPD en mai 2018, plusieurs améliorations ont été apportées pour aider les entreprises à bien appliquer ce règlement. Parmi celles-ci :
- La publication des lignes directrices par le comité européen en charge de la protection des données
- La création de nouveaux outils et mécanismes pratiques pour favoriser la transparence et le respect des obligations légales
- L’harmonisation des sanctions au niveau européen pour rendre le système de contrôle plus équitable
- Le renforcement des droits de l’utilisateur, notamment en matière de consentement et de portabilité des données
Ainsi, les entreprises disposent désormais d’un cadre législatif plus précis et d’outils mieux adaptés pour s’assurer qu’elles respectent correctement les obligations liées à la protection des données personnelles.