Dans trois délibérations des 7 et 8 décembre 2020, la formation restreinte de la Commission Nationale de l'Informatique et des Libertés (CNIL) a prononcé plusieurs amendes à l’encontre de deux médecins libéraux et deux entreprises, Performeclic et Nestor. Après avoir infligé de lourdes sanctions à des multinationales comme Google ou Carrefour pour non-respect des dispositions relatives à la protection des données à caractère personnel, la CNIL semble concentrer également ses contrôles sur de plus petites structures. 

1/ Le manque de protection des données d’imagerie médicale par deux médecins

Lors d’un contrôle en ligne, la CNIL a découvert que des images médicales hébergées sur des serveurs appartenant à deux médecins étaient en libre accès sur internet. La formation restreinte de la CNIL a alors prononcé à leur encontre deux amendes en raison de la protection insuffisante des données personnelles de leurs patients et du manquement à l’obligation de notification à la CNIL de la violation de données.  

Les contrôles ont mis en évidence que les deux médecins avaient mal paramétré leur logiciel d’imagerie médicale et mal configuré leur boxe internet, entrainant un mauvais chiffrement des données de leurs patients. En effet, « les noms, prénoms, date de naissance du patient ainsi que la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen, et le nom de l’établissement dans lequel celui-ci avait eu lieu »[1] étaient librement accessibles en ligne. Ils sont sanctionnés à hauteur de 3.000 € et 6.000 € sur la base des articles 32 et 33 du RGPD.

2/ L’utilisation et la conservation des données dans le cadre de la prospection commerciale

La formation restreinte de la CNIL a également prononcé une amende à l’encontre de la société Performeclic, une TPE effectuant de la prospection commerciale par courrier électronique, et à l’encontre de la société Nestor, une société de préparation et livraison de repas à destination d’employés de bureau. En effet, il était notamment reproché aux deux sociétés d’avoir adressé des courriels de prospection commerciale sans information (en application des articles 12 à 14 du RGPD) et sans consentement préalable des prospects (en application de l’article L. 34-5 du code des postes et des communications (CPCE)).

Par ailleurs, la CNIL a constaté que la société Performeclic conservait des données non nécessaires à l’envoi de la prospection commerciale, en l’occurrence le numéro de téléphone des personnes concernées. En outre, dès que les prospects ouvraient simplement le courriel de prospection, sans clic sur un lien présent dans le courriel, la société Performeclic conservait leurs données pendant une durée de plus de trois ans, jugée excessive et non nécessaire à la finalité de l’activité. Ces manquements sur le mode et la durée de conservation des données personnelles sont considérés par la CNIL comme contraires aux articles 5.1.c et 5.1.e du RGPD.

La société Performeclic ne prévoyait pas non plus la possibilité pour les prospects de s’opposer de façon effective à l’utilisation et la conservation de leurs données, caractérisant un manquement au droit d’opposition des personnes (article 21§2 du RGPD).

Enfin, la CNIL a constaté l’absence de certaines clauses spécifiques à la protection des données dans le contrat entre Performeclic et son sous-traitant, chargé de la diffusion technique des campagnes de prospection. Il manquait les clauses permettant de « veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité » et de « mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits » [2].

S’agissant de la société Nestor, des manquements seront également relevés au titre du droit d’accès des personnes (article 15 du RGPD), se traduisant notamment par l’omission de fournir intégralement la copie des données collectées aux personnes les ayant demandées, ainsi que des manquements à la sécurité des données (article 32 du RGPD), en n’imposant pas la création d’un mot de passe assez protecteur lors de l’inscription sur son site et son application[3]

Lors de son calcul, la formation restreinte a pris en compte la taille et la situation financière de la société Performeclic, qui est une très petite entreprise (TPE) pour prononcer une amende de 7.300€ et l’enjoindre, dans un délai de 2 mois, à se mettre en conformité sous peine d’une astreinte de 1.000€ par jour de retard. La société Nestor est condamnée à une amende de 20.000€ ainsi qu’à une injonction de mise en conformité dans un délai de trois mois, sous astreinte de 500€ par jour de retard. 

3/ Quelles conséquences ? 

La décision de la CNIL de rendre ces trois affaires publiques traduit sa volonté d’insister sur la nécessité pour tous les professionnels qui manipulent les données personnelles de se mettre en conformité avec le CPCE et le RGPD pour une protection plus effective des individus et une utilisation des données à caractère personnel sécurisée, respectueuse et conforme. La CNIL inflige en effet des sanctions en cas de manquement, indifféremment de la taille et de la structure de l’entité.

[1] Délibération SAN-2020-015 et SAN-2020-014 du 7 décembre 2020

[2] Délibération SAN-2020-016 du 7 décembre 2020, §2.C.6

[3] Délibération SAN-2020-018 du 8 décembre 2020PROTECTION DES DONNEES A CARACTERE PERSONNEL : La CNIL sanctionne aussi les professionnels libéraux, les PME et TPE