La Cnil a prononcé neuf nouvelles sanctions dans le cadre de sa procédure simplifiée depuis mars 2024. Cela représente un montant total de 83 000 € d’amendes. La Cnil détaille les infractions qu’elle n’accepte pas. Cela concerne la minimisation des données, les cookies, les traitements illicites, la sécurité des données et la non coopération et la non réponse à une demande d’exercice des droits.
Sanction d’une vidéo promotionnelle qui affiche des données personnelles
La Cnil traque les traitements illicites. Un cas qu’elle a sanctionné est l’affichage de données personnelles dans le cadre d’une vidéo promotionnelle. Cela doit inciter les entreprises à scruter les informations visibles par la caméra lors d’un banal reportage.
Une société a diffusé une vidéo à but promotionnel utilisant des images de dossiers de patients d’un de ses clients
Ces images présentaient les nom, prénom, genre et parfois l’adresse et le numéro de téléphone des patients. Elles ont été utilisées sans le consentement des personnes concernées. La Cnil déclare que la diffusion de l’identité des patients révélant des informations médicales nécessite le consentement explicite de la personne concernée, en application de l’article 9 du RGPD. Or, la société n’avait pas recueilli le consentement explicite des personnes.
Une vidéo qui déroge au secret professionnel
En outre, en vertu de l’article L. 1110-4 du code de la santé publique, la société était soumise au secret professionnel sans pouvoir y déroger. Il s’agit donc d’un traitement illicite de données au regard de l’article 5.1 a) du RGPD. La Cnil a donc prononcé une amende contre cette société.
Les principaux manquements retenus sont relatifs aux traitements illicites
Autre manquement sanctionné, il concerne l’absence de moyens permettant de refuser les cookies aussi facilement que de les accepter. La Cnil n’apprécie pas non plus un défaut de coopération avec ses intervenants. Elle reproche aussi le défaut de sécurité des données ave un mot de passe insuffisamment robuste, des mots de passe stockés en clair et l’absence de politique d’habilitation des accès des personnes aux données.
Respecter les droits des personnes et la minimisation des données
La Cnil rappelle également qu’elle veut le respect des droits des personnes lors de leur demande d’exercice du droit d’accès à un dossier médical. La Cnil sanctionne le manquement à l’information des personnes et le manquement au principe de minimisation des données. Dans le cadre de la gestion d’un centre d’appel pour assurer le secrétariat de professionnels, une société a procédé à l’enregistrement systématique de la totalité des conversations des appels entrants et sortants entre les télésecrétaires, les patients et les professionnels à des fins de formation, d’évaluation et en cas de litige éventuel.
Un enregistrement en totalité des conversations n’apparaît pas nécessaire en vue de réquisitions judiciaires
Dernier cas, il concerne les cookies. À l’occasion d’un contrôle en ligne, la Cnil a constaté que le site web d’une société ne proposait pas de moyen permettant à l’utilisateur de refuser les cookies avec le même degré de simplicité que celui pour en accepter l’usage.
Refuser les cookies doit être aussi simple que d’accepter
Le site permettait, par la présence d’un bouton, d’accepter tous les cookies immédiatement. Mais pour les refuser, il fallait cliquer sur les paramètres puis accéder à une interface pour activer ou désactiver les cookies. Le site ne présentait donc aucun moyen analogue pour refuser facilement en un seul clic le dépôt des cookies. Pour la Cnil, un tel mécanisme est contraire aux exigences légales du consentement requises à l’article 82 de la loi Informatique et Libertés. La Cnil a prononcé une amende contre cette société.
