Condamnations CNIL

Quelques exemples de sanctions et condamnations prononcées par la CNIL | Denis JACOPINI

  Quelques sanctions CNIL prononcées auprès de sociétés commerciales Quelques sanctions CNIL prononcées auprès de sociétés commerciales – Société JEAN MARC PHILIPPE (DELIBERATION n°2009-201 du 16 avril 2009) : 10 000 euros d’amende d’amende pour avoir installé une vidéosurveillance permanente des salariés (COMMERCE VÊTEMENTS MAGASIN + SITE EN LIGNE PARIS) En outre, le directeur général de la société JEAN MARC PHILIPPE s’étant opposé au contrôle de la CNIL, a été condamné par le Tribunal correctionnel de Paris à une peine d’amende de 5 000 euros pour délit d’entrave. – DirectAnnonces : 40 000 euros d’amende pour pratiques déloyales Cette société est spécialisée dans la compilation d’annonces immobilières de particuliers sur internet pour revente à des professionnels (pratique jugée déloyale puisqu’elle se faisait à l’insu des personnes). (ANNONCES IMMOBILIERES PARIS) – CDISCOUNT (30.000 € d’amende) et ISOTHERM (30.000 € d’amende) pour démarchage commercial par courriel et téléphone abusif. Sanctions prononcées en novembre 2008 et rendues publiques en juin 2009. Ces deux sociétés ne prenaient pas en compte efficacement les demandes de désinscription des personnes ne souhaitant plus être démarchées alors que la loi informatique et libertés prévoit un droit d’opposition à la prospection commerciale. (MAGASIN EN LIGNE BORDEAUX) – KEOLIS RENNES : avertissement public pour le passe Korrigo de Rennes (prononcé le 20 janvier 2009 et rendu public le 17 juin 2009). Un contrôle sur place a souligné de véritables obstacles pour souscrire un passe anonyme. (TRANSPORT PUBLIC DE VOYAGEURS RENNES) – Entreparticuliers.com : Par décision du 20 mai 2008, la CNIL, a prononcé un avertissement à l’égard de la société en raison de plusieurs manquements à la loi informatique et libertés, dont des défauts de sécurité. Information rendue publique le 17 novembre 2008. (ANNONCES IMMOBILIERES LEVALLOSIS PERET) – Société Leclerc ARCYDIS SA : 30 000 € d’amende + Publication de la sanction sur son site internet et sur la base Légifrance – juillet 2008 (CENTRE LECLERC BOIS D’ARCY 78390) – Société Neuf Cegetel : 7 000 € d’amende + Publication de la sanction sur son site internet et sur la base Légifrance – juin 2008 (OPERATEUR TELEPHONIQUE 92) – Société VPC KHADR : 5 000 € d’amende + Publication de la sanction dans le quotidien La Nouvelle République du Centre Ouest – février 2008 (VENTE DE MOBILIE REN LIGNE ARGENTON SUR CREUSE 36)***** – SERVICE INNOVATION GROUP France : Société spécialisée dans la force de vente et le marketing : 40 000 € d’amende – décembre 2007 (78140 VELIZY VILLACOUBLAY) – Société JPSM (nom commercial « Stock Premium ») : 5000 € d’amende – novembre 2007 (BOUTIQUE VÊTEMENTS NANCY) – Société B&M : Société de Conseils – 10 000 € d’amende – octobre 2007 (LA RICHE 37) – Cabinet d’enquêtes privées (non public) : Recherche de débiteurs – 50 000 € d’amende – juin 2007 – FRDT – Entreprise spécialisée dans l’immobilier : 15 000 € d’amende – mai 2007 (TOULON 83) – Studio Replay – Entreprise de vente à distance : 10 000 € d’amende – mars 2007 – Cabinet de recouvrement de créances : 5 000 € d’amende – mars 2007 – BANQUE DES ANTILLES FRANCAISES : 30 […]

Allocab condamné par la Cnil

Allocab condamné par la Cnil La police de protection des données personnelles en ligne vient de condamner la société Allocab à verser une amende de 15 000 euros. L’entreprise de VTC aurait mal protégé et conservé certaines données bancaires de ses utilisateurs sans tenir compte des avertissements de la Cnil, dont le verdict est tombé ce 25 avril.   Les données des utilisateurs frauduleusement conservées La société de VTC (Voiture avec chauffeur) Allocab propose des chauffeurs privés aux utilisateurs de son application. En réponse aux demandes des clients, la Cnil (Commission nationale de l’informatique et des libertés) a effectué un contrôle des activités de la firme dans le cadre de la loi « Informatique et Libertés ». L’enquête a révélé qu’Allocab commettait plusieurs manquements à ce texte : elle rapporte notamment que « des données relatives à des comptes inactifs et des cryptogrammes de cartes bancaires étaient encore présents dans le système d’information et la sécurité des données n’était pas suffisamment assurée » et que les mots de passe à un seul caractère étaient par ailleurs admis, ce qui ne garantit aucune sécurité aux données des utilisateurs. Il ne s’agit pourtant pas du premier faux pas de cette entreprise, déjà sanctionnée en 2015. Des avertissements ignorés Le 10 novembre 2015, Allocab se voyait mise en demeure par la Cnil suite à la plainte d’un utilisateur. L’institution ordonnait à l’entreprise de détruire les données des anciens clients et de « prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données des utilisateurs du site », notamment en limitant la durée de conservation des cryptogrammes de cartes bancaires et de toutes les données des utilisateurs. Suite à cette première condamnation s’est déroulée une longue correspondance dans laquelle Allocab prétextait des dysfonctionnements techniques et certifiait mettre en place des mesures nécessaires. Ces affirmations ont incité la Cnil à mener un deuxième contrôle. Au cours de cette seconde investigation fin 2016, elle découvre que plusieurs de ses injonctions ne sont pas respectées : de nombreux comptes inactifs existent encore sur la plateforme, tout comme les données et cryptogrammes des cartes bancaires de nombreux utilisateurs. 15 000 euros d’amende Les fameux dysfonctionnements invoqués par Allocab n’ont pas convaincu la commission, dont un comité restreint l’a condamné le 13 avril dernier au versement d’une amende de 15 000 euros…[lire la suite]     A Lire aussi : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 Le RGPD, règlement européen de protection des données. Comment devenir DPO ? Comprendre le Règlement Européen sur les données personnelles en 6 dessins Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)   Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel. Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité […]

Google condamné à 375 Millions d’euros…

Google condamné à 375 Millions d’euros… 44 participants ont condamné Google – par sondage – à environ 375 millions d’euros pour une infraction à la protection des données personnelles – et au titre du nouveau règlement européen !  La condamnation était entièrement virtuelle et objet d’un test.…[Lire la suite ] Denis JACOPINI anime des conférences, des formations sur la mise en conformité CNIL, des formations sur la protection des données Personnelles et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux obligations et moyens de se mettre en conformité avec le RGPD, futur règlement européen relatif à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84). Plus d’informations sur notre page formations. Réagissez à cet article

Google condamné à 375 Millions d’euros…

Google condamné à 375 Millions d’euros… 44 participants ont condamné Google – par sondage – à environ 375 millions d’euros pour une infraction à la protection des données personnelles – et au titre du nouveau règlement européen !  La condamnation était entièrement virtuelle et objet d’un test.…[Lire la suite ] Denis JACOPINI anime des conférences, des formations sur la mise en conformité CNIL, des formations sur la protection des données Personnelles et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux obligations et moyens de se mettre en conformité avec le RGPD, futur règlement européen relatif à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84). Plus d’informations sur notre page formations. Réagissez à cet article

Optical Center : 50 000 euros d’amende par la CNIL pour un défaut de sécurité de données clients

Optical Center : 50 000 euros d’amende par la CNIL pour un défaut de sécurité de données clients La CNIL vient de sanctionner lourdement la chaîne d’optique Optical Center en lui infligeant une amende de 50 000 euros.   Malgré une première mise en demeure, toutes les requêtes de la CNIL n’avaient pas été satisfaites. Oui, la CNIL (Commission Nationale Informatique et Libertés) peut se fâcher. Même si la majorité des « sanctions » infligées par l’autorité administrative indépendante reste du domaine du symbole ou de la mauvaise publicité quand le rappel à la loi est public, de lourdes amendes peuvent sanctionner les plus rétifs. Optical Center vient d’en faire l’expérience en se voyant infliger une amende de 50 000 euros. Suite à une plainte en juillet 2014, la CNIL avait enquêté sur les pratiques au sein de la chaîne de 400 magasins d’optique et un site web servant autant au e-commerce qu’à du back-office interne. Une mise en demeure de se mettre en conformité avec la loi avait suivi cette première inspection, fin 2014. Ce premier niveau de « sanction » est symbolique : il suffit au fautif d’appliquer les instructions reçues. Mais la CNIL a tenu à vérifier plus récemment que ses instructions avaient bien été appliquées. Or ce n’était pas totalement le cas.     Des obligations strictes de sécurité Les manquements relevaient de la sécurité et de la confidentialité des données clients. Rappelons en effet que la Loi Informatique et Liberté oblige tout responsable de traitement à s’assurer de ces éléments susceptibles d’entraîner des compromissions de données personnelles. Des questions s’étaient posées sur la durée de la conservation des données mais la violation de la Loi n’a pas été jugée constituée sur ce point. En tout premier lieu, la CNIL avait relevé une absence de chiffrement de la connexion au site, point ensuite corrigé. Mais le principal reproche fait concernait la gestion des mots de passe d’accès au site web par les clients et les collaborateurs du distributeur. En effet, la complexité des mots de passe des clients n’était pas suffisamment contrôlée, point non-corrigé pour les anciens clients. Et les mots de passe des collaborateurs étaient saisis par un administrateur au lieu d’être changé par chacun sans possibilité pour un tiers -même interne- de le connaître. Ce point précis a été corrigé. Enfin, vue la sensibilité des données (médicales), la CNIL avait exigé la mise en place d’une authentification à deux facteurs et un verrouillage automatique des postes de travail en cas d’inactivité prolongée, ce qui n’avait pas été réalisé dans tout le groupe. Enfin, il a été reproché à Optical Center de ne pas avoir précisé les obligations de sécurité et de confidentialité dans les contrats liant l’entreprise avec un sous-traitant intervenant sur son système d’information. Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…). Même si remplir un formulaire de déclaration à la CNIL est gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point […]

image_pdfimage_print

Accès direct aux Thèmes

Derniers articles


Le Net Expert - 1, les Magnolias - 84300 Cavaillon
Contactez-nous - Newsletter - Mentions légales
Connexion à distance