La Cnil finit l’année 2023 par un bref récapitulatif de six sanctions qu’elle a infligées depuis novembre dans le cadre de sa procédure simplifiée. Le montant total des amendes s’élève à 44 000 €.
Manque de coopération avec la Cnil
L’autorité a ainsi sanctionné un défaut de coopération avec la Cnil, la collecte non justifiée de données de candidats à l’embauche, le non respect du droit d’opposition à la prospection politique par email, le non respect du droit d’accès au dossier médical par un professionnel de santé, un défaut de sécurité des données à cause de mots de passe insuffisamment robustes.
Dans le détail, les professionnels de santé doivent donner accès au dossier médical, en vertu de l’article 64 de la loi Informatique et Libertés. Une société collectait les lieux, pays de naissance, et les numéros de sécurité sociale de candidats à un emploi de figurant ou d’hôte pour des événements télévisés. Ces données ne présentaient pas de lien direct et nécessaire avec l’emploi proposé ni avec l’évaluation des aptitudes professionnelles.
A chaque étape de recrutement ses données
Cela constitue un manquement au principe de collecte des données pour des finalités déterminées, explicites et légitimes (article 5.1.b du RGPD). L’argument selon lequel ces données faciliteraient la gestion lors de la conclusion du contrat de travail ne justifie pour la Cnil leur collecte lors de la sélection des candidatures.
Autre cas, un candidat aux législatives de juin 2022 a adressé à une personne des emails de prospection politique. Cette personne s’est opposée auprès du candidat à la réception de ces messages, en vain. Or, une personne a le droit de s’opposer à tout moment à l’utilisation de ses données pour ces objectifs (article 21.2 du RGPD).
Chiffrer les mots de passe
D’autre part, une commune a été sanctionnée car elle n’appliquait pas les précautions minimales en matière de robustesse et de stockage des mots de passe. La Cnil préconise qu’un mot de passe ne doit jamais être stocké en clair par le responsable du traitement. Tout mot de passe utile à la vérification de l’authentification doit être transformé au moyen d’une fonction cryptographique spécialisée dont les caractères sont définis.
