Un premier bilan :
Il apparaît que la plupart des violations découlent d’une action malveillante de la part d’un tiers. Par exemple, un site de réservation en ligne se fait pirater la base de données de ses clients.
Si vous constatez une violation, la marche à suivre est de faire une déclaration à la Cnil dans les 72 heures, d’informer les personnes concernées par cette violation et de mettre en œuvre des actions correctives.
La CNIL a avant tout un rôle d’accompagnement des professionnels : conseils, recommandations, orientation vers un accompagnateur. Néanmoins, si un manquement est observé (par exemple, une absence de notification d’une violation dans le délai de 72 heures), elle adoptera une approche répressive : possibilité d’une amende équivalente à 2% du chiffre d’affaires.
D’ailleurs, plusieurs entreprises ont déjà été mises en demeure ou sanctionnées, en voici quelques exemples :
- Singlespot fournit et analyse des données de géolocalisations de smartphones pour lancer des campagnes publicitaires ciblées.
Elle affirme recueillir le consentement des usagers : toutefois, la CNIL a constaté que lors du téléchargement de l'application, les utilisateurs n’étaient pas informés de la finalité de ciblage publicitaire, ni de l’identité du responsable de traitement. De plus, il n’y a pas de durée de conservation définie par Singlespot, ni de mesures mises en place pour assurer la sécurité des données personnelles récoltées.
L’entreprise a été mise en demeure et doit se conformer à la loi « informatique et Libertés » dans un délai de trois mois.
- L’Alliance française a été sanctionnée de 30 000 € à la suite d’un incident de sécurité sur son site web. En effet, un contrôle a permis de découvrir qu’en modifiant l’url de son site internet, les données personnelles des utilisateurs étaient téléchargeables.
Malgré la notification de la CNIL, l’association ne s’est pas mise en conformité dans les temps.
- La CNIL a mis en demeure cinq sociétés des groupes Humanis et Malakoff-Médéric pour détournement de finalité des données des assurées. Ces sociétés utilisent les données personnelles auxquelles elles ont accès pour de la prospection commerciale. Ces données ne doivent être utilisées que pour mener à bien leur mission d’intérêt général.
Services-IT vous conseille et vous accompagne dans votre transition de mise en conformité.