La Cnil affiche les infractions qu’elle ne veut pas laisser passer

La Cnil a prononcé neuf nouvelles sanctions dans le cadre de sa procédure simplifiée depuis mars 2024. Cela représente un montant total de 83 000 € d’amendes. La Cnil détaille les infractions qu’elle n’accepte pas. Cela concerne la minimisation des données, les cookies, les traitements illicites, la sécurité des données et la non coopération et la non réponse à une demande d’exercice des droits.

Sanction d’une vidéo promotionnelle qui affiche des données personnelles

La Cnil traque les traitements illicites. Un cas qu’elle a sanctionné est l’affichage de données personnelles dans le cadre d’une vidéo promotionnelle. Cela doit inciter les entreprises à scruter les informations visibles par la caméra lors d’un banal reportage.

La Cnil décrit le cas d’une société exerçant en programmation informatique et dans l’intelligence artificielle. Cette société a diffusé une vidéo à but promotionnel qui utilisait des images de dossiers de patients d’un de ses clients sur son site web et sur les réseaux sociaux.

Ces images présentaient les nom, prénom, genre et parfois l’adresse et le numéro de téléphone des patients. Elles ont été utilisées sans le consentement des personnes concernées. La Cnil déclare que la diffusion de l’identité des patients révélant des informations médicales nécessite le consentement explicite de la personne concernée, en application de l’article 9 du RGPD. Or, la société n’avait pas recueilli le consentement explicite des personnes.

Une vidéo qui déroge au secret professionnel

En outre, en vertu de l’article L. 1110-4 du code de la santé publique, la société était soumise au secret professionnel sans pouvoir y déroger. Il s’agit donc d’un traitement illicite de données au regard de l’article 5.1 a) du RGPD. La Cnil a donc prononcé une amende contre cette société.

Au total, les principaux manquements retenus sont relatifs aux traitements illicites. Il s’agit par exemple de la diffusion d’une vidéo promotionnelle comportant des données sensibles ou la publication sur un site web des nom et prénom de personnes radiées d’une association. La Cnil a également sanctionné le manquement à la minimisation des données tels que des commentaires excessifs ou l’enregistrement en intégralité de conversations téléphoniques dans un centre d’appel.

Autre manquement sanctionné, il concerne l’absence de moyens permettant de refuser les cookies aussi facilement que de les accepter.  La Cnil n’apprécie pas non plus un défaut de coopération avec ses intervenants. Elle reproche aussi le défaut de sécurité des données ave un mot de passe insuffisamment robuste, des mots de passe stockés en clair et l’absence de politique d’habilitation des accès des personnes aux données.

Respecter les droits des personnes et la minimisation des données

La Cnil rappelle également qu’elle veut le respect des droits des personnes lors de leur demande d’exercice du droit d’accès à un dossier médical. La Cnil sanctionne le manquement à l’information des personnes et le manquement au principe de minimisation des données. Dans le cadre de la gestion d’un centre d’appel pour assurer le secrétariat de professionnels, une société a procédé à l’enregistrement systématique de la totalité des conversations des appels entrants et sortants entre les télésecrétaires, les patients et les professionnels à des fins de formation, d’évaluation et en cas de litige éventuel.

Pour la Cnil, la mise en place d’un enregistrement ponctuel et aléatoire permet de disposer des éléments nécessaires pour la formation des salariés. Selon l’Autorité, un enregistrement systématique et en totalité des conversations n’apparaît pas davantage nécessaire pour la bonne exécution du service ni en vue d’éventuelles réquisitions judiciaires.  La Cnil a donc  prononcé une amende contre cette société.

Dernier cas, il concerne les cookies. À l’occasion d’un contrôle en ligne, la Cnil a constaté que le site web d’une société ne proposait pas de moyen permettant à l’utilisateur de refuser les cookies avec le même degré de simplicité que celui pour en accepter l’usage.

Refuser les cookies doit être aussi simple que d’accepter

Le site permettait, par la présence d’un bouton, d’accepter tous les cookies immédiatement. Mais pour les refuser, il fallait cliquer sur les paramètres puis accéder à une interface pour activer ou désactiver les cookies. Le site ne présentait donc aucun moyen analogue pour refuser facilement en un seul clic le dépôt des cookies. Pour la Cnil, un tel mécanisme est contraire aux exigences légales du consentement requises à l’article 82 de la loi Informatique et Libertés. La Cnil a prononcé une amende contre cette société.