Avec l’arrivée du Règlement Européen relatif à la protection des données à caractère personnel dans moins de neuf mois et l’augmentation des montants de sanctions, de nombreuses entreprises désirent se mettre en conformité.
Cette mise en conformité peut parfois s’avérer coûteuse pour les entreprises dotées d’une organisation complexe.
Il est donc important de prioriser les actions de mise en conformité et de focaliser ces efforts sur les thématiques critiques.
Pour déterminer ces « thématiques critiques », nous vous proposons une étude sur les sanctions attribuées par la CNIL sur ces sept dernières années. Source : https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil
Cette étude a pour but d’analyser :
Le type de sanction (simple avertissement ou sanction financière)
Les causes de ces sanctions
LES TYPES DE SANCTION
Les sanctions attribuées par la CNIL sont de quatre types :
Avertissement non-public
Avertissement public
Sanction pécuniaire non-publique
Sanction pécuniaire publique
Voici la répartition de ces sanctions depuis 2011 :
Les sanctions de la CNIL peuvent avoir deux types d’impact sur une entreprise :
Impact sur l’Image de l’entreprise
Impact Financier
Il est à noter que les sanctions pécuniaires sont actuellement limitées à 150 000 €, ce qui ne sera plus le cas avec le RGPD.
LES CAUSES DE SANCTION
Les principales causes de sanction CNIL sont :
Le Traitement illicite de données à caractère personnel
Les manquements de Sécurité
Le non-respect des droits des personnes concernées
La non-coopération avec la CNIL
Il est néanmoins à noter que tous ces manquements ne sont pas équivalents et ne sont pas sanctionnés de la même manière par la CNIL. Ainsi, si la sécurité représente 29% des motifs de sanctions, elle ne représente que 19% des sanctions pécuniaires.
Le principal motif de sanction reste le traitement illicite, avec en particulier le défaut d’information des personnes concernées et le défaut de collecte du consentement. Pour ce motif, la CNIL n’hésite pas à attribuer la sanction maximale, ce qui a été le cas pour un célèbre moteur de recherche ou encore pour un célèbre réseau social récemment.
Le second motif de sanction pécuniaire est le non-respect des droits des personnes, avec en particulier le non-respect des droits d’opposition et d’accès. Si ce motif est encore peu regardé par la CNIL (15% des sanctions), les sanctions attribuées sont à plus de 75% d’ordre pécuniaire.
La sécurité est un domaine auquel la CNIL s’intéresse de plus en plus. En effet le nombre de sanctions CNIL liées à un manquement de sécurité a augmenté de 450% en 7 ans, soit en moyenne plus de 50% par an.
NOS PRÉCONISATIONS
Sachez où sont vos données et ce que vous en faites !
Disposer d’une cartographie de vos Données à caractères personnel et de vos Traitements vous permettra :
D’informer les personnes concernées des Traitements réalisés :
Une fois les Traitement cartographiés, vous connaissez les données utilisées, et la finalité du Traitement. Reste à rédiger un message d’information et à le diffuser.
D’être en capacité de respecter les droits des personnes :
Vous savez où sont les données de chaque personne et vous êtes en capacité de les lui communiquer, de les modifier, de les effacer sur l’ensemble de votre SI ou de justifier pourquoi ce n’est pas possible. Reste à déterminer les conditions auxquelles vous accepter d’accéder à la demande.
De sécuriser votre SI : savoir quelle sont les données à protéger est la première étape vers la sécurisation de votre SI
Réaliser cette cartographie vous semble compliqué ? Nous pouvons vous y aider grâce à notre outil IT Maps, qui scan votre SI et cartographie vos données et traitements IT.
Une fois que vous disposez d’une telle cartographie, il vous faut encore analyser chaque Traitement afin de vous assurer de sa licéité.
Enfin, il vous faudra adapter les processus de votre entreprise, mais cela fera l’objet d’un autre article.
Aymen