Leur analyse met en particulier en avant le fait que les manquements les plus fréquents concernent :

  • la licéité des traitements de données personnelles illicites (données non minimisées, finalités détournées, défaut de consentement de la personne concernées),
  • l’obligation d’information des personnes et l’obligation de sécurité (confidentialité des données).

Dans ces affaires, la CNIL a porté le montant des amendes entre 10 et 50K€ et accordé des délais de mise en conformité entre 1 et 3 mois. D’une manière générale, la CNIL décide de rendre publiques ses décisions en fonction de la gravité de l’atteinte, du nombre de personnes concernées et dans une volonté pédagogique de sensibiliser les acteurs du traitement de données personnelles.

Ceci étant, les premières décisions rendues sous l’empire du RGPD étaient attendues. Des amendes rendues publiques, qui permettraient d’apprécier la façon dont la CNIL va appliquer les montants prévus de 10 à 20 millions d’€ ou 2 à 4% du Chiffre d’affaires, n’ont pas encore été prononcées. En revanche, la CNIL a fait paraître deux mises en demeure déjà riches d’enseignements pratiques et concrets pour la mise en application du RGPD par les entreprises.

Les deux affaires portant sur le même type de traitements et ayant en commun plusieurs manquements, il est intéressant de les analyser conjointement.

Lire la suite