La sanction de la CNIL prononcée le 29 décembre 2023 et qui vient d’être rendue public peut faire figure de cas d’école.
Une société, distributrice de monnaie électronique, est condamnée à une sanction de 105 000 euros pour des manquements qui peuvent être évités simplement en s’engageant dans une démarche de mise en conformité RGPD :
● Conservation des données pour une durée illimitée : en dépit des déclarations du responsable de traitement, la CNIL a constaté que les données étaient conservées au-delà des 10 et 5 ans déclarés, alors qu’il s’agissait parfois de données telles que des copies de cartes d’identité ou des coordonnées bancaires
● Absence d’information des personnes conformément à l’article 13 du RGPD : la politique de protection des données était rédigée en Anglais alors que le service s’adressait à des francophones
● Défaut de sécurité des données : des logins/password étaient conservés en clair dans les bases de données de la société ou protégé par une fonction de hachage SHA-1 obsolète. En outre, le niveau de complexité exigé des mots de passe n’était pas suffisant
● Dépôt de cookies sans le recueil du consentement préalable des personnes
La mise en conformité RGPD sur ces éléments essentiels coûte toujours moins que la sanction.
