Depuis l’entrée en vigueur du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données (« RGPD »), la CNIL a multiplié ses actions afin de faire respecter les obligations qui s’imposent à chacun.
Un nombre accru de contrôles ont été diligentés en 2022 et des sanctions importantes ont ainsi été prononcées par l’autorité de contrôle.
Parmi les manquements sanctionnés par la CNIL, ont notamment été relevés :
- Le non-respect des obligations en matière de durées de conservation lorsque les durées annoncées aux personnes concernées diffèrent des durées de conservation réelles mises en œuvre par le responsable de traitement ;
- Le défaut de sécurité des données personnelles, notamment en raison de la faible sécurisation des mots de passe permettant aux utilisateurs d’accéder à leur compte personnel ;
- Le non-respect des droits des personnes concernées, notamment lorsque ces dernières n’ont pas été mises en mesure de s’opposer à la prospection commerciale, ou lorsque leurs demandes d’accès et d’opposition n’ont pas été suivies d’effet dans le délai légal ;
- Des manquements à l’obligation d’information des personnes concernées notamment dans le cadre du démarchage téléphonique.
Enfin, dans une mise en demeure rendue publique le 10 février 2022, la CNIL a enjoint à des éditeurs de site internet de cesser toute utilisation de l’outil Google Analytics. La CNIL considère en effet que les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens par le gouvernement américain.
Selon la CNIL « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité. »
En conséquence :
- il est impératif pour tous les responsables de traitement et sous-traitants de se mettre en conformité au RGPD en menant les actions adéquates.
- dans le cas où des actions auraient d’ores et déjà été mises en place au sein de votre structure, nous vous recommandons de faire procéder à un audit de vos process de traitement de données à caractère personnel afin de vous assurer que ces mesures soient suffisantes.
- nous vous invitons à prêter une attention particulière aux cookies et autres traceurs fournis par des prestataires américains, et notamment Google Analytics, que vous utilisez sur vos sites internet.
Le cabinet PVB AVOCATS peut vous assister dans vos actions (audit et mise en conformité juridique) et vous invite à prendre contact avec son équipe dédiée.