Méconnaissance du RGPD : un exemple de ce qu'il ne faut pas faire

À la suite de la découverte d'une fuite de données personnelles impliquant une société, la Commission nationale de l'informatique et des libertés (CNIL) a procédé à des contrôles... et a prononcé une sanction financière dont le montant n'est pas négligeable. Que s'est-il passé exactement ?

Méconnaissance du RGPD : une amende dissuasive, mais proportionnée !

Régulièrement, la Commission nationale de l'informatique et des libertés (CNIL) procède à des contrôles visant à vérifier le respect de la réglementation sur la protection des données à caractère personnel et peut être amenée à publier le résultat de ses investigations.

Nouvel exemple de méconnaissance du Règlement général sur la protection des données (RGPD) et de l'action de la CNIL, qui vient de prononcer une sanction de 150 000 € à l'encontre d'une société. Que lui était-il reproché ?

La société en question exploite plusieurs sites web proposant à ses clients des consultations de voyance par tchat ou par téléphone. Lors de ses contrôles, la CNIL a constaté des manquements prenant la forme, notamment :

• d'un enregistrement systématique des appels téléphoniques sans justifier d'une nécessité particulière ;
• d'une collecte de données de santé et d'informations relatives à l'orientation sexuelle ;
• d'une conservation des données bancaires sans le consentement de la personne ;
• d'un manquement aux règles relatives aux cookies, notamment concernant le bandeau d'information qui, une fois en place, ne permettait pas de refuser le dépôt de cookies aussi facilement que de l'accepter.

La CNIL a déterminé la sanction en fonction de la sensibilité des données personnelles en cause, du nombre de manquements constatés, mais aussi de la situation financière de la société.

Méconnaissance du RGPD : un exemple de ce qu'il ne faut pas faire - © Copyright WebLex