La Cnil finit l’année 2023 par un bref récapitulatif de six sanctions qu’elle a infligées depuis novembre dans le cadre de sa procédure simplifiée. Le montant total des amendes s’élève à 44 000 €.
Manque de coopération avec la Cnil
L’autorité a ainsi sanctionné un défaut de coopération avec la Cnil, la collecte non justifiée de données de candidats à l’embauche, le non respect du droit d’opposition à la prospection politique par email, le non respect du droit d’accès au dossier médical par un professionnel de santé, un défaut de sécurité des données à cause de mots de passe insuffisamment robustes.
Dans le détail, les professionnels de santé doivent donner accès au dossier médical, en vertu de l’article 64 de la loi Informatique et Libertés. Une société collectait les lieux, pays de naissance, et les numéros de sécurité sociale de candidats à un emploi de figurant ou d’hôte pour des événements télévisés. Ces données ne présentaient pas de lien direct et nécessaire avec l’emploi proposé ni avec l’évaluation des aptitudes professionnelles.
A chaque étape de recrutement ses données
Cela constitue un manquement au principe de collecte des données pour des finalités déterminées, explicites et légitimes (article 5.1.b du RGPD). L’argument selon lequel ces données faciliteraient la gestion lors de la conclusion du contrat de travail ne justifie pour la Cnil leur collecte lors de la sélection des candidatures.
Autre cas, un candidat aux législatives de juin 2022 a adressé à une personne des emails de prospection politique. Cette personne s’est opposée auprès du candidat à la réception de ces messages, en vain. Or, une personne a le droit de s’opposer à tout moment à l’utilisation de ses données pour ces objectifs (article 21.2 du RGPD).
Chiffrer les mots de passe
D’autre part, une commune a été sanctionnée car elle n’appliquait pas les précautions minimales en matière de robustesse et de stockage des mots de passe. La Cnil préconise qu’un mot de passe ne doit jamais être stocké en clair par le responsable du traitement. Tout mot de passe utile à la vérification de l’authentification doit être transformé au moyen d’une fonction cryptographique spécialisée dont les caractères sont définis.
Top lectures en ce moment
-
Stellantis adopte les agents IA, arcbouté sur une plateforme d’IA bâtie avec Dat...
-
La CDP (Customer Data Platform), un projet clé de la transformation Data d’Axa F...
-
Doctolib lance un assistant vocal de gestion des appels des patients
L’actualité de la transformation
L'IA clé de nos besoins vitaux dans l'eau, l'électricité et le gaz
Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités
Saur, spécialiste de la distribution d’eau potable, fait évoluer son processus de réponse aux appels d’offres des collectivités et des industriels en y injectant de l’IA géné…
Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie
Le stockage de l’électricité est un enjeu stratégique. Engie s’y attelle et mobilise pour cela l’IA générative de type RAG, c'est-à-dire basée sur le traçage des documents source. …
Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA
GRDF, leader de la distribution du gaz naturel en France, affine sa stratégie d’IA. Il s’appuie sur des serveurs internes pour la confidentialité des données de ses clients. GRDF c…
Et vous, qu’en pensez-vous ?
Une idée, une réaction, une question ? Laissez-nous un mot ci-dessous.
Je réagis à cet article