Les lignes rouges de la Cnil : l’absence du registre des activités de traitement

Il existe des lignes rouges à ne pas franchir pour la Cnil. Depuis juin 2024, l’Autorité de contrôle a rendu 11 sanctions pour un montant cumulé de 129 000 € d’amendes dans le cadre de sa procédure simplifiée.

Le registre de traitement et la minimisation des données

Les deux principaux manquements retenus concernent l’absence de « registre de traitement » et le non-respect de la minimisation des données par exemple lors de la vidéosurveillance des salariés ou de l’enregistrement de conversations téléphoniques.

La Cnil sanctionne les manquements relatifs au « registre des activités de traitement ». La Cnil a sanctionné deux sociétés de moins de 250 employés pour l’absence du « registre des activités de traitement » car les traitements en cause n’étaient pas occasionnels. La tenue d’un registre des activités de traitement est exigée par les dispositions de l’article 30 du RGPD.

Ce registre permet de recenser notamment les données qui sont collectées, pour quelle raison et qui y a accès. Pour la Cnil, c’est un outil clé de pilotage et de démonstration de la conformité au RGPD du responsable de traitement. Cet outil doit être régulièrement mis à jour en fonction des évolutions fonctionnelles et techniques des traitements de données.

Enregistrement de toutes les conversations téléphoniques des téléconseillers

D’autre part, en ce qui concerne les manquements au principe de minimisation des données, plusieurs sanctions ont été prises. Ce manquement concerne par exemple la vidéosurveillance des salariés ou  l’enregistrement systématique et en intégralité des conversations téléphoniques entre des télé-conseillers et des prospects ou clients.

La Cnil affirme que la surveillance vidéo permanente de salariés à leur poste de travail, si elle est n’est pas justifiée par des circonstances exceptionnelles liées à la sécurité ou au vol, porte atteinte au principe de minimisation des données. De même, un système d’enregistrement et d’écoute des appels téléphoniques doit être proportionné au regard de l’objectif poursuivi et ne doit pas porter une atteinte excessive au respect de la vie privée des personnes enregistrées.

Ainsi, pour la Cnil, la finalité ou l’objectif d’amélioration des ventes ou la formation des salariés ne justifient pas pour enregistrer systématiquement et en intégralité les conversations téléphoniques, si un enregistrement ponctuel et aléatoire des appels émis peut être mis en place.

Enregistrement pour preuve dans certains cas

 Il en va de même si l’objectif est de collecter une « preuve ». Selon la Cnil, en dehors des cas où il est imposé par la loi, l’enregistrement systématique des conversations téléphoniques n’est justifié sous réserve d’être nécessaire, que s’il constitue la preuve d’un contrat ou d’un acte d’exécution d’un contrat conclu avec un consommateur, par exemple l’achat d’un service.

Parmi les autres raisons de sanction, la Cnil cite l’absence de moyens permettant de refuser les cookies aussi facilement que de les accepter ; le défaut de coopération avec la Cnil ; le non-respect des droits des personnes tel que l’absence de réponse dans les délais prévus ; le manquement à l’information des personnes, qu’il s’agisse de clients et de salariés.

La Cnil souhaite rappeler que la procédure de sanction simplifiée est un des outils répressifs dont elle dispose pour assurer le respect du RGPD et répondre aux plaintes reçues chaque année. Il y a eu 16 000 plaintes en 2023. Cette procédure simplifiée est inscrite dans la loi depuis 2022 à l’initiative de la Cnil. Elle sert à prononcer des sanctions rapides pour les dossiers ne présentant pas de difficulté particulière, contrairement aux sanctions dites « ordinaires ». Les sanctions simplifiées ne sont pas publiques et le montant des amendes pouvant être prononcées ne peut excéder 20 000 euros.

Près de 300 000 € de sanctions en 9 mois via la procédure simplifiée

Depuis janvier 2024, sur 9 mois, la Cnil indique avoir prononcé 28 sanctions simplifiées pour un montant total de 290 500 €. En comparaison, sur la totalité de l’année 2023, 24 sanctions simplifiées ont été prises pour un montant total de 229 500 € qui se sont ajoutées aux 18 sanctions ordinaires pour un montant de 88,9 millions d’euros.

Au-delà des sanctions pécuniaires, les mises en demeure sont également mobilisées par la Cnil pour promouvoir le respect du RGPD. La Cnil a ainsi prononcé 168 mises en demeure contre des organismes publics et privés en 2023. Ce chiffre est en constante augmentation depuis plusieurs années. Il y a eu 135 mises en demeure en 2021 et 147 en 2022.

En outre, la Cnil insiste sur sa coopération active avec les autorités de protection des données européennes. Cette coopération s’illustre par exemple avec la sanction de 290 millions d’euros prise par l’autorité néerlandaise, en coopération avec la Cnil, à l’encontre de la société Uber le 22 juillet 2024.

Une intervention de la Cnil auprès du responsable de traitement peut suffire

Enfin, la Cnil entend rappeler que la mise en conformité peut être atteinte sans mise en demeure ni sanction. Dans le cadre du traitement des plaintes, l’intervention des services de la Cnil auprès des responsables de traitement peut ainsi permettre d’obtenir une mise en conformité, par exemple lors d’un échange avec le délégué à la protection des données visant à satisfaire une demande d’exercice des droits.

La Cnil propose d’accompagner les responsables de traitement dans leur mise en conformité au RGPD en répondant à leurs demandes de conseil. Il y a eu 15 000 demandes en 2023. La Cnil intervient via plusieurs dispositifs : l’accompagnement renforcé, le « bac à sable » qu’elle précise dans sa charte d’accompagnement, ou encore par la publication régulière de ressources thématiques et sectorielles sur son site web.