RGPD : Sanction de la CNIL pour une microentreprise française à hauteur de 3000 €

Le 15 septembre 2021, la formation restreinte de la CNIL (Commission nationale de l’informatique et des libertés) a prononcé une amende administrative publique de 3 000 € à l’encontre d’une micro-société la SNAF (la Société nouvelle de l’annuaire français) par délibération n° SAN-2021-014. 

Ladite société, composée uniquement de son président, a pour activité principale la publication en ligne  d’ un annuaire reprenant  les données du répertoire SIRENE en ce compris des données personnelles et notamment les noms, prénoms et adresses des dirigeants.

La CNIL a constaté quatre manquements au RGPD à l’encontre de la société SNAF, qu’elle explique dans son communiqué de presse comme suit : 

• « un manquement à l’obligation de faire droit aux demandes de rectification des données (art. 16 RGPD), dans la mesure où la société n’a pas donné entièrement suite à la demande de rectification qu’elle a reçue, dans le délai fixé par la mise en demeure. Toutefois, la société a procédé à la rectification en cours de procédure ;
• un manquement à l’obligation de respecter les demandes d’effacement de données (art. 17 RGPD), dans la mesure où la société n’a pas effacé les données de tous les plaignants qui en ont fait la demande ;
• le manque de mise en œuvre d’un registre des activités de traitement (art. 30 GDPR), l’activité principale de la société étant de traiter des données à caractère personnel ;
• un manque de coopération avec la CNIL (art. 31 RGPD). »

Une entreprise dans le collimateur de la CNIL  

La CNIL a reçu seize plaintes entre 2018 et 2019, faisant état de difficultés rencontrées par des internautes lors de demandes d’effacement et de rectification de leurs données personnelles.

Un contrôle en ligne et un contrôle sur audition ont permis de constater des manquements aux droits des personnes concernées.

La présidente de la CNIL a alors mis en demeure la société SNAF de se mettre en conformité avec le RGPD dans un délai de deux mois, ce que la société n’a pas fait.

En conséquence, la formation restreinte – organe de sanction de la CNIL – a condamné l’entreprise à une amende de 3 000 €, notamment pour non-respect des droits de rectification et d’effacement et pour défaut de coopération.

Cette sanction a fait prise en tenant compte de la taille et de la situation financière de l’entreprise. La CNIL adapte le montant des amendes prononcées en fonction des situations particulières des entités contrôlées. La bonne foi de l’entreprise entre aussi en jeu dans la mesure où la CNIL met préalablement en demeure la société avant d’entrer en voie de condamnation.

Encore une fois, ce sont des plaintes des personnes concernées qui ont mené la CNIL à engager un contrôle à distance puis sur audition. Raison pour laquelle il demeure impératif et stratégique de répondre en temps et en heure aux demandes d’exercice de droits. Satisfaire de telles demandes, au-delà des obligations réglementaires, c’est aussi se prémunir d’un éventuel contrôle.

Une décision publiée, l’enjeu du préjudice d’image

La CNIL a décidé de publier sa décision notamment sur son site internet. Cette publicité est justifiée par le besoin:

• de mettre en garde l’ensemble des acteurs du domaine,
• de rappeler l’importance du respect des obligations afférentes au traitement des demandes de rectification et d’effacement,
• d’insister sur la nécessité de coopérer en toutes circonstances avec la CNIL.

Au-delà de la sanction pécuniaire, la société SNAF subit un préjudice d’image important du fait de la publication de cette condamnation laquelle ne manquera pas de faire parler d’elle, notamment compte tenu de la taille de l’entreprise condamnée. 

Cette décision met en évidence la volonté de la CNIL de s’assurer du respect de la réglementation par toutes les organisations concernées, quelque soit leur taille ou leur surface financière.

Contrairement à ce que l’on pourrait croire la CNIL n’est pas susceptible de contrôler uniquement les GAFA et autres multi nationales, mais également des structures de dimension plus modeste.

Cette décision sera sans douter de nature à faire changer d’avis les dirigeants de petites structures qui ne se pensaient pas concernés par le RGPD. 

S’il est exact que l’enjeu peut sembler disproportionné pour ce type d’entreprises et les actions à mettre en œuvre trop complexes et chronophages, le sujet de la conformité ne doit cependant pas être mis de côté. 

C’est la raison pour laquelle Mission RGPD a pensé son logiciel RGPD pour faciliter la vie des dirigeants de TPE/PME. Grâce à un logiciel SaaS facile d’utilisation, vous pouvez désormais mener à bien votre conformité sans difficultés grâce notamment à de très nombreux modèles juridiques.

Ne perdez plus de temps, c’est si simple !