En cette première quinzaine de juin, la CNIL et son homologue espagnole rappellent que le non-respect des règles de base du RGPD est passible d’amendes et que celles-ci peuvent être importantes. Deux décisions qui ont en commun d’illustrer avec simplicité les exigences du RGPD.
La Liga
Le foot n’est pas à l’abri du RGPD. La Liga vient de le réaliser à ses dépens. Pour permettre aux Espagnols fans de foot de suivre leur championnat et leurs idoles sportives, la Liga a mis au point une application baptisée Laliga, téléchargée par plusieurs millions d’utilisateurs. Lors du téléchargement, il est demandé l’accord pour accéder au micro et au GPS du smartphone. Procédure courante pour beaucoup d’applications aujourd’hui. Sauf que dans la demande de consentement, tout n’était pas dit.
N’était pas expliqué par exemple que cette application permettait, par la géolocalisation, d’identifier la présence du smartphone dans un bar. Objectif, déceler les bars qui retransmettent les matchs sans contrat avec la ligue. L’accès au micro quant à lui permettait d’identifier l’ambiance caractéristique d’un match de ligue… Ou quand l’utilisateur de l’appli se retrouve malgré lui délateur…
L’Agencia Espanola de Proteccion de Datos, l’équivalent en Espagne de notre CNIL condamne la Liga à 250 000€ pour défaut d’information. Voilà un exemple qui illustre parfaitement ce que doit être un consentement « éclairé » comme l’exige le RGPD. C’est un consentement pour lequel l’intéressé dispose de toutes les informations lui permettant de donner – ou pas – son accord à la collecte de certaines de ses données en toute connaissance de cause. La Liga entend faire appel de cette sanction.
L’agence immobilière
Le 2ème cas concerne une agence de promotion et de location immobilière. Les candidats à un logement avaient la possibilité de constituer un dossier en ligne et surtout de télécharger les pièces justificatives, dont certaines évidemment touchent à la vie privée.
En août 2018, un utilisateur parvient, avec une petite manipulation d’URL, à accéder aux pièces d’autres utilisateurs. Il alerte la CNIL qui diligente une enquête dès le 7 septembre. La faille est identifiée facilement et il se trouve que l’agence la connaissait depuis le mois de mars. Elle ne sera corrigée que le 17 septembre. La CNIL retient le manquement à l’obligation de sécurité, mais aussi la mauvaise foi des gérants.
Un 2ème reproche est formulé à l’encontre de cette agence immobilière, le non respect des durées de conservation des données. En effet, les pièces restaient actives bien au-delà de l’attribution du logement alors que le RGPD exige que les données personnelles ne soient pas conservées une fois la finalité atteinte. En clair, une fois le logement loué, les données ne doivent pas rester actives, mais être archivées.
Ces deux manquements se soldent par une amende de 400 000€ prononcée par la CNIL.
Deux cas intéressants qui illustrent bien les exigences du RGPD : donner toutes les informations nécessaires au moment du recueil du consentement, assurer la sécurité des données personnelles collectées, et archiver les données dès que leur finalité est atteinte. Et qui rappelle que le RGPD concerne tous les secteurs!
