Le 21 avril, de plus en plus vigilante sur ces questions, la CNIL a publié une sanction de 1,5 million d’euros envers la société Dedalus Biologie, pour « manquement à l’obligation d’assurer la sécurité des données personnelles », considérant qu’une faille dans la sécurité de son logiciel était à l’origine de la mise en accès libre sur Internet de données médicales concernant près de 500 000 Français.
Cette décision vient allonger la liste des entreprises sanctionnées au cours des deux dernières années, en France comme en Europe. Ainsi, le 15 mars dernier, Meta a fait l’objet d’une sanction de 17 millions d’euros émanant de la Data Protection Commission, la « CNIL irlandaise », faisant suite à un accès non-autorisé aux données personnelles des utilisateurs de la plateforme Facebook. De leur côté, British Airways et Marriott se sont respectivement vues infliger une sanction de 20 millions de livres et de 18,4 millions de livres venant de l’ICO britannique, en octobre 2020. En France, Slimpay s’est acquitté d’une amende de 180 000 euros, fin décembre 2021, tandis que Free Mobile déboursait 300 000 euros pour le même motif.
Pour prononcer de telles sanctions, la CNIL, comme ses homologues européens, s’appuie sur l’article 32 du RGPD relatif à l’obligation de sécurité des données. En effet, les autorités de protection des données mènent non seulement des investigations pour s’assurer que les procédures mises en place permettent d’éviter des fuites de données, mais aussi examinent s’il peut exister un manquement à l’obligation de notifier les violations de données aux autorités compétentes et d’informer les personnes concernées de ces violations, en application des articles 33 et 34.
Au gré des sanctions prononcées régulièrement, nul ne peut désormais ignorer que le RGPD affecte l’ensemble des professionnels amenés à traiter des données personnelles, quels que soient leur envergure et leur secteur d’activité. En témoignent notamment les amendes infligées fin 2020 par la CNIL à deux médecins français, de 3 000 et de 6 000 euros, au prétexte que les images médicales qu’ils stockaient sur des serveurs étaient librement accessibles sur Internet et n’étaient pas systématiquement chiffrées.
Qui plus est, la CNIL multiplie ses contrôles, à tel point qu’elle a prononcé la moitié de ses sanctions en invoquant une mauvaise sécurité des données, l’an dernier. Dans ce contexte, on ne saurait qu’inciter tous les professionnels concernés à s’assurer de leur conformité avec le RGPD de manière préventive, en vérifiant scrupuleusement avoir mis en place des dispositifs conformes aux obligations légales et surtout… s’y tenir au fil du temps.