03 66 72 26 33

Synthèse des sanctions de la CNIL – 4ème trimestre 2021

La CNIL a été particulièrement active à la fin de l’année 2021 en matière de sanctions.

Ainsi, la RATP, la société SLIMPAY, la société FREE MOBILE ainsi que les sociétés FACEBOOK et GOOGLE ont fait l’objet de lourdes amendes.

RATP – 29 octobre 2021 – 400 000 €

Synthèse :

Faits :
  • En mai 2020, réception par la CNIL d’une plainte de plusieurs syndicats rela-tive à la collecte et la conservation de données relatives au nombre de jours de grève des agents dans des fichiers d’avancement de carrière.

Investigations CNIL :

  • Pratique courante dans plusieurs unités de transport, et autres manquements constatés.

Conclusions CNIL :

  • Manquement au principe de minimisation car le nombre de jours de grève n’est pas nécessaire pour la finalité de la gestion des carrières et l’évaluation du personnel
  • Manquement à la limitation de la durée de conservation car l’application utilisée pour le suivi du travail stockait les données pour une durée excessive
  • Manquement à l’obligation de sécurité des données car accès des agents habilités à une quantité excessive de données, sans distinction de rôle ni restriction

Résumé :

Au mois de mai 2020, la CNIL a reçu une plainte de plusieurs syndicats concernant la collecte et la conservation de données relatives au nombre de jours de grève des agents de la RATP dans des fichiers normalement utilisés pour les procédures d’avancement de carrière.

A la suite des contrôles opérés par la CNIL, la RATP a reconnu que quatre unités de transport par bus étaient concernées par cette pratique.

L’enquête menée par la CNIL a confirmé que cette pratique était courante dans au moins trois unités de transport par bus de la RATP et a constaté d’autres manquements con-cernant la limitation du stockage et la sécurité des données.

Ainsi, la CNIL a estimé que le traitement de données relatives au nombre de jours de grève d’un agent dans le cadre des procédures d’avancement de carrière était illicite car ces informations n’étaient pas nécessaires au regard de la finalité du traitement.

En particulier, la RATP aurait dû limiter ces informations au nombre de jours d’absence de chaque agent, peu importe le motif des absences.

En conséquence, la CNIL a considéré que la RATP avait traité ces données en violation du principe de minimisation des données (article 5(1)(c) du RGPD).

Par ailleurs, les investigations de la CNIL ont également révélé des manquements au principe de limitation de la durée de conservation des données (article 5, paragraphe 1, point e) du RGPD), car l’application utilisée pour suivre le travail des agents de la RATP stockait des données personnelles pendant une durée excessive.

De plus, les dossiers des agents étaient conservés plus de trois ans après la prise de décision de la commission d’avancement des carrières, alors que la RATP aurait dû con-server ces dossiers pendant une durée de18 mois maximum selon la CNIL.

Enfin, l’enquête a également révélé des failles de sécurité.

La CNIL a ainsi constaté que les agents habilités pouvaient accéder à un nombre excessif de données (y compris les dossiers de ressources humaines), quel que soit leur rôle, à partir de toutes les unités de transport par bus, et pouvaient également extraire toutes les données de l’application, sans aucune restriction.

De ce fait, la CNIL a considéré que la RATP avait commis un manquement aux disposi-tions de l’article 32 du RGPD.

Compte tenu de l’étendue et de la gravité de ces violations, la CNIL a condamné la RATP à une amende d’un montant de 400 000 €.

SLIMPAY – 28 décembre 2021 – 180 000 €

Synthèse :

Faits :
  • Données utilisées par SLIMPAY à des fins de test sont restées stockées sur un serveur librement accessible depuis internet, pendant plusieurs années.
  • SLIMPAY averti par un client, a pris des mesures pour mettre fin à la violation de données et a notifié l’incident à la CNIL, mais pas aux personnes concernées.

Investigations CNIL :

  • Catégories de données (comprenant des coordonnées bancaires) et nombre de personnes concernées (12 millions environ) aggravent le manquement à l’obligation de sécurité.

Conclusions CNIL :

  • Manquement à l’obligation de sécurité des données car serveur contenant les données confidentielles d’un grand nombre de personnes librement ac-cessible pendant plusieurs années, indépendamment de l’absence de préjudice avéré pour les personnes concernées
  • Manquement à l’obligation de notifier aux personnes la violation de données car le risque aurait dû être considéré comme élevé par SLIMPAY au regard des catégories de données et du nombre de personnes concernées par la violation.

Résumé :

En 2015, SLIMPAY (un prestataire de services de paiement) a réutilisé les données personnelles contenues dans ses bases de données à des fins de test, dans le cadre d’un projet de recherche s’étant terminé au mois de juillet 2016.

Toutefois, il est apparu que les données utilisées pour effectuer ce test sont restées stockées sur un serveur sans procédure de sécurité particulière, et étaient donc librement accessibles depuis Internet.

C’est l’un de ses clients qui a averti SLIMPAY en 2020.

Par la suite, SLIMPAY a alors pris des mesures pour mettre fin à la violation de données et a procédé à sa notification à la CNIL, mais a toutefois décidé de ne pas la notifier aux personnes concernées. C’est en raison de ces faits que la CNIL a décidé de mener une enquête sur la conformité des traitements mis en œuvre par SLIMPAY au regard des dispositions du RGPD.
A l’issue de ses investigations, la CNIL a relevé plusieurs manquements aux dispositions du RGPD.

La CNIL a tout d’abord constaté un manquement aux dispositions de l’article 28 RGPD, car certains des contrats conclus par SLIMPAY avec ses prestataires de services (sous-traitants ultérieurs) ne contenaient pas l’ensemble des clauses permettant de s’assurer que ces sous-traitants s’engagent à traiter les données à caractère personnel dans le respect du RGPD, tandis que certains autres contrats ne contenaient même aucune de ces clauses.

La CNIL a ensuite constaté un manquement aux dispositions de l’article 32 RGPD, du fait que le serveur en question n’avait fait l’objet d’aucune mesure de sécurité appropriée, et était librement accessible par quiconque entre novembre 2015 et février 2020.

En outre, les catégories de données disponibles sur ce serveur, à savoir des données d’état civil (nom, prénom), des adresses postales et électroniques, des numéros de téléphone et des coordonnées bancaires (BIC/IBAN), concernant plus de 12 millions de per-sonnes, ont aggravé le cas de SLIMPAY sur ce point.

De plus, selon la CNIL, l’absence de préjudice avéré pour les personnes concernées n’a aucune incidence sur l’existence de la violation de l’article 32 RGPD, contrairement à ce que SLIMPAY a affirmé au cours de la procédure.

Enfin, la CNIL a constaté un manquement aux dispositions de l’article 34 RGPD, car, compte tenu de la nature des données à caractère personnel concernées par la violation, du nombre de personnes concernées (plus de 12 millions) et de la possibilité de les identifier à partir des données accessibles, ainsi que des risques de phishing ou d’usurpation d’identité qu’impliquait la violation, le risque associé à cette violation aurait dû être considéré comme élevé par SLIMPAY.

Par conséquent, SLIMPAY aurait dû informer toutes les personnes concernées de cette violation de données.

Pour l’ensemble de ces manquements, la CNIL a décidé d’imposer à SLIMPAY une amende de 180 000 €.

FREE MOBILE – 28 décembre 2021 – 300 000 €

Synthèse :

Faits :
  • Réception par la CNIL de multiples plaintes de personnes ayant rencontré des difficultés pour obtenir des réponses aux demandes d’exercice de droits effectuées auprès de FREE MOBILE ; et recevant des messages de prospection commerciale malgré leur opposition

Investigations CNIL :

  • FREE MOBILE ne répondait pas aux personnes dans le délai d’un mois, et ne respectait pas le droit d’opposition des personnes concernant les messages de prospection commerciale
  • FREE MOBILE continuait à envoyer des factures à des personnes dont l’abonnement était résilié, et transmettait par email en clair les mots de passe des utilisateurs lors de leur souscription à une offre, sans qu’ils soient temporaires ou que leur modification soit exigée

Conclusions CNIL :

  • Manquement à l’obligation de répondre dans le délai d’un mois aux de-mandes d’exercice de droit et au respect du droit d’opposition
  • Manquement à l’obligation de protéger les données dès la conception et à l’obligation de sécurité

Résumé :

La CNIL a ouvert une enquête sur les activités de traitement de FREE MOBILE après avoir reçu de multiples plaintes de personnes ayant rencontré des difficultés excessives pour obtenir des réponses aux demandes d’accès qu’elles avaient effectuées auprès d’elle, et qui s’étaient opposées à la réception de messages de prospection commerciale de sa part.

A la suite de ses investigations, la CNIL a estimé que FREE MOBILE avait enfreint les dispositions du RGPD en :

  • Ne respectant pas le droit d’accès des personnes à leurs données personnelles (article 12 et 15 RGPD). En effet, FREE MOBILE n’a pas répondu aux demandes formulées par les plaignants dans les délais impartis, et il lui revenait d’informer les personnes concernées dans un délai d’un mois lorsqu’ils ne fourniront aucune donnée (par exemple parce que les données ne sont plus traitées). Par ailleurs, FREE MOBILE aurait dû également fournir aux personnes concernées les données qui sont conservées dans des bases de données d’archives.
  • Ne pas avoir respecté le droit d’opposition des personnes concernées (articles 12 et 21 RGPD), FREE MOBILE n’ayant pas pris en compte les demandes des par lesquelles celles-ci ne souhaitaient plus recevoir de messages de prospection commerciale ;
  • Ne pas avoir protégé les données à dessein (article 25 RGPD), FREE MOBILE ayant continué à envoyer aux personnes concernées des factures relatives à des lignes téléphoniques dont l’abonnement avait été résilié.
  • Ne pas avoir assuré la sécurité des données (article 32 RGPD), du fait de la transmission par courrier électronique, et en clair, des mots de passe des utilisa-teurs lorsqu’ils souscrivaient à une offre avec FREE MOBILE, sans que ces mots de passe soient temporaires et que leur modification soit exigée.

En raison de l’ensemble de ces manquements, la CNIL a condamné FREE MOBILE à une amende de 300 000 €.

GOOGLE – 31 décembre 2021 – 150 000 000 €

Synthèse :

Faits :
  • Réception par la CNIL de multiples plaintes de personnes dénonçant les modalités de refus des cookies sur les sites google.fr et youtube.com

Investigations CNIL :

  • Une seule action (un clic) permettait aux utilisateurs de consentir à la lecture/au dépôt de cookies sur leur terminal, et de poursuivre leur navigation
  • Au contraire, pour refuser les cookies, 5 clics étaient nécessaires avant de pouvoir continuer la navigation
  • Ainsi, le fait de rendre le mécanisme de refus des cookies plus complexe que celui de leur acceptation revenait à décourager les utilisateurs de refuser les cookies et à les inciter à opter pour leur acceptation

Conclusions CNIL :

  • Manquement à l’obligation de recueil du consentement au dépôt ou à la lecture de cookies sur le terminal des utilisateurs, car les modalités de refus de ces opérations étaient plus complexes que leurs modalités d’acceptation

Résumé :

Le 7 décembre 2020, la CNIL avait déjà sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED par une amende d’un montant total de 100 millions d’euros, en raison du dépôt de cookies publicitaires sur les terminaux des visiteurs de google.fr, sans avoir obtenu préalablement leur consentement préalable et sans avoir fourni une information suffisante.

Malgré cette sanction, la CNIL a reçu de nombreuses plaintes dénonçant les modalités de refus des cookies sur les sites web google.fr et youtube.com.

Les investigations de la CNIL consistaient donc à vérifier si ces sociétés avaient respecté l’article 82 de la loi Informatique et Libertés.

Pendant ces investigations, la CNIL a constaté que, pour donner leur consentement à la lecture et/ou à l’écriture d’informations sur leur terminal, les utilisateurs se rendant sur la page d’accueil des sites google.fr et youtube.com n’avaient qu’à cliquer sur le bouton « J’accepte », de la première fenêtre s’affichant, ce qui faisait disparaître cette fenêtre et leur permettait de poursuivre leur navigation.

En revanche, les utilisateurs souhaitant refuser les cookies devaient cliquer sur le bouton « Personnaliser » de la première fenêtre, les conduisant vers une interface, tant sur leur proposant d’activer ou de désactiver les cookies, sur laquelle ils avaient la possibilité d’effectuer diverses actions.

Dans sa décision, la CNIL fait référence à des études démontrant que la présence d’un bouton « Tout refuser » sur l’interface de consentement de premier niveau entraînait une diminution du taux de consentement à l’acceptation des cookies.

Ainsi, la CNIL a considéré que le fait de rendre le mécanisme de refus des cookies plus complexe que celui de leur acceptation revenait à décourager les utilisateurs de refuser les cookies et à les inciter à opter pour leur acceptation.

En l’espèce, les utilisateurs se rendant sur le moteur de recherche Google et/ou sur YouTube devaient effectuer une seule action pour accepter les cookies, alors qu’ils devaient en effectuer cinq pour les refuser.

Par conséquent, la CNIL en a conclu que les modalités de refus des cookies mises en œuvre par les sociétés sur les sites google.fr et youtube.com n’étaient pas conformes aux dispositions de l’article 82 de la loi Informatique et Libertés, telles que précisées par les exigences de consentement prévues par le RGPD.

Dès lors, la CNIL :

  • a infligé une amende de 90 000 000 € à la société GOOGLE LLC pour avoir méconnu les dispositions de l’article 82 de la loi Informatique et Libertés,
  • a infligé à GOOGLE IRELAND LIMITED une amende de 60 000 000 € pour avoir méconnu les dispositions de l’article 82 de la loi Informatique et Libertés,
  • a ordonné à ces sociétés de modifier, sur les sites google.fr et youtube.com les modalités de recueil du consentement des utilisateurs situés en France à la lecture et/ou à l’écriture d’informations dans leur terminal, en leur offrant un moyen de refuser ces opérations aussi simple que le mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement ;
  • a assorti cette injonction d’une astreinte de 100 000 € par jour de retard à l’issue d’un délai de trois mois à compter de la notification de sa décision, la preuve de la mise en conformité devant lui être adressée dans ce délai ;
  • a rendu publique sa décision sur le site de la CNIL et sur le site de Légifrance, qui n’identifiera plus nominativement les sociétés à l’issue d’un délai de deux ans à compter de la date de sa publication.

FACEBOOK – 31 décembre 2021 – 60 000 000 €

Synthèse :

Faits :
  • Enquête de la CNIL sur la conformité du site facebook.com aux dispositions relatives au recueil du consentement et à l’information des personnes en matière de dépôt/lecture de cookies

Investigations CNIL :

  • Une seule action (un clic) permettait aux utilisateurs de consentir à la lecture/au dépôt de cookies sur leur terminal, et de poursuivre leur navigation
  • Au contraire, pour refuser les cookies, 3 clics étaient nécessaires avant de pouvoir continuer la navigation, et la pop-up mise en place n’informait pas les personnes de la possibilité de refuser les cookies

Conclusions CNIL :

  • Manquement à l’obligation de recueil du consentement au dépôt ou à la lecture de cookies sur le terminal des utilisateurs, car les modalités de refus de ces opérations étaient plus complexes que leurs modalités d’acceptation, et FACEBOOK n’informait pas suffisamment les personnes concernées de la possibilité de refuser ces opérations.

Résumé :

En avril 2021, la CNIL a effectué un contrôle en ligne du site web facebook.com dans le cadre d’une enquête sur le traitement des données personnelles des résidents français qui visitent ce site, afin de vérifier la conformité de la société à l’article 82 de la loi Informatique et Libertés.

La CNIL a tout d’abord constaté que les utilisateurs se rendant sur le site facebook.com étaient confrontés à une fenêtre pop-up intitulée « Accepter les cookies Facebook dans ce navigateur » et qu’en bas de cette fenêtre se trouvaient deux boutons intitulés « Gérer les paramètres des données » et « Tout accepter ».

A ce stade, aucun cookie n’était déposé sur le terminal de l’utilisateur, mais ce dernier était obligé de cliquer sur l’un des deux boutons afin de poursuivre sa navigation.

En revanche, si l’utilisateur voulait continuer à utiliser le site sans accepter les cookies, il devait cliquer sur deux autres boutons.

À ce titre, la CNIL a considéré que FACEBOOK n’avait pas respecté les dispositions de l’article 82 de la loi Informatique et Libertés, car elle n’avait pas mis à la disposition des utilisateurs un moyen de donner librement leur consentement en refusant le dépôt de cookies sur leur terminal, aussi simple que celui prévu pour accepter leur dépôt.

De plus, la CNIL a estimé que les informations fournies aux utilisateurs ne leur indiquaient pas clairement qu’ils pouvaient refuser les cookies.

Par conséquent, la CNIL :

  • a infligé une amende de 60 000 000 € à FACEBOOK IRELAND LIMITED pour la violation des dispositions de l’article 82 de la loi Informatique et Libertés,
  • a ordonné à FACEBOOK IRELAND LIMITED de modifier, sur le site facebook.com les modalités de recueil du consentement des utilisateurs situés en France à la lecture et/ou à l’écriture d’informations dans leur terminal, en leur offrant un moyen de refuser ces opérations aussi simple que le mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement ;
  • a assorti cette injonction d’une astreinte de 100 000 € par jour de retard à l’issue d’un délai de trois mois à compter de la notification de la présente décision, les justificatifs devant être adressés au comité restreint dans ce délai ;
  • a rendu publique sa décision sur le site de la CNIL et sur le site de Légifrance, qui n’identifiera plus nominativement la société à l’issue d’un délai de deux ans à compter de la date de sa publication.

A RETENIR

  • Le traitement de données relatives au nombre de jours de grève dans le cadre de procédures d’avancement de carrière est illicite car ces données ne sont pas nécessaires au regard de la finalité du traitement.
  • Il convient de définir précisément les habilitations des personnes ayant accès aux fichiers contenant des données à caractère personnel, en fonction de leur rôle et en prévoyant les restrictions adéquates.
  • Le fait de laisser librement accessible un serveur contenant des données à caractère personnel relatives à un grand nombre de personnes, sans aucune mesure de sécurité appropriée et pendant plu-sieurs années, constitue un manquement à l’obligation de sécurité du responsable de traitement, indépendamment de l’absence de préjudice avéré pour les personnes concernées. Dans cette hypothèse, une notification doit être adressée aux personnes concernées.
  • Il convient d’informer les personnes concernées exerçant leur droit d’accès du fait que le responsable de traitement ne dispose pas de données à caractère personnel les concernant, et ce dans le délai d’un mois. De plus, le droit d’accès s’applique également aux données conservées dans des bases d’archives.
  • Le fait de transmettre par courrier électronique, et en clair, des mots de passe aux personnes concernées sans que ces mots de passe soient temporaires et que leur modification soit exigée constitue un manquement à l’obligation de sécurité.
  • Le fait de rendre le mécanisme de refus des cookies plus complexe que celui de leur acceptation, notamment au regard du nombre de clics devant être effectués, constitue un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés.

Décision RATP - SAN-2021-019 du 29 octobre 2021
Décision SLIMPAY - SAN-2021-020 du 28 décembre 2021
Décision FREE MOBILE - SAN-2021-021 du 28 décembre 2021
Décision GOOGLE - SAN-2021-023 du 31 décembre 2021
Décision FACEBOOK - SAN-2021-024 du 31 décembre 2021

Raphaël RAULT
Avocat associé
Département Numérique

Raphaël EKWALLA-MATHIEU
Avocat Collaborateur
Département Numérique