Depuis le début de l’année 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a intensifié ses efforts de régulation en prononçant quinze nouvelles sanctions selon une procédure simplifiée. Le montant total des amendes s’élève à 98 500 euros, démontrant un engagement accru par rapport à l’année précédente.

Qu’est-ce que la procédure simplifiée ?

Contrairement à la procédure ordinaire, les modalités de mise en œuvre de la procédure simplifiée sont plus légères : le président de la formation restreinte (ou un membre qu’il désigne) statue seul et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu.

La procédure simplifiée ?

Pour rappel, dans le cadre de la procédure simplifiée, les sanctions pouvant être prononcées sont une amende d’un montant maximum de 20 000 €, une injonction avec astreinte plafonnée à 100 € par jour de retard ou un rappel à l’ordre. Les noms des organismes concernés ne peuvent pas être rendus publics. Cette procédure permet à la CNIL de prendre rapidement des mesures pour des dossiers ne présentant pas de difficulté particulière.

Lorsqu’un manquement au RGPD ou à la loi Informatique et Libertés est constaté et que l’affaire ne présente pas de difficulté particulière, une procédure de sanction simplifiée peut être initiée à l’encontre d’un organisme.

Cela peut se produire dans les cas suivants :

• L’existence d’une jurisprudence établie.
• Les décisions préalablement rendues par la formation restreinte.
• La simplicité des questions de fait et de droit à trancher.

Dans cette situation, le président de la CNIL désigne un rapporteur parmi les agents des services de la CNIL et en informe le président de la formation restreinte :

• Le président de la formation restreinte prend en charge l’affaire ou la confie à un membre désigné par lui-même.
• Le responsable de traitement ou le sous-traitant concerné en est informé.
• Le président de la formation reçoit tous les documents lors de la procédure écrite entre le rapporteur et l’organisme mis en cause.

Le président de la formation restreinte peut refuser le recours à cette procédure pour tout motif, ou la suspendre à tout moment. Dans ce cas, le dossier revient à une procédure ordinaire avec la désignation d’un commissaire-rapporteur par le président de la Commission, toutes les pièces antérieures restant au dossier pour assurer la continuité de la procédure.

Pendant la procédure simplifiée, l’organisme visé peut être entendu si le rapporteur le juge nécessaire. Dans ce cas, l’audition est suivie de la rédaction d’un procès-verbal. Le rapporteur peut également demander des contrôles complémentaires s’il le juge nécessaire.

Le rapport de sanction

Le rapport proposant de prononcer une ou plusieurs des trois mesures prévues à l’article 22-1 de la loi Informatique et Libertés est notifié à l’organisme. En cas de sanction financière, le rapport indique le montant proposé par le rapporteur.

L’organisme peut consulter et obtenir une copie des pièces du dossier auprès du service des sanctions de la CNIL sur demande.

L’organisme peut être assisté ou représenté par le conseil de son choix.

Observations de l’organisme

À partir de la réception du rapport, l’organisme dispose d’un mois pour formuler des observations écrites.

Le rapporteur peut répondre à ces observations dans un délai d’un mois. L’organisme a également la possibilité de répondre au rapporteur.

Lorsque le rapporteur estime que le dossier est prêt, il informe le mis en cause et le président de la formation restreinte que l’instruction est close.

L’organisme est informé de la date de la séance de la formation restreinte au moins quinze jours avant sa tenue.

Format de la procédure

La procédure simplifiée est écrite.

Sur demande, l’organisme peut être entendu lors d’une séance pour présenter des observations orales.

Dans ce cas, une séance est organisée avec le mis en cause, le rapporteur et le président de la formation restreinte.

Prise de décision

Le président de la formation restreinte (ou le membre désigné par lui) rend sa décision seul.

Il peut prononcer l’une ou plusieurs des trois mesures suivantes :

• Rappel à l’ordre.
• Injonction de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard.
• Amende administrative d’un montant maximal de 20 000 €.

Les amendes de la CNIL sont recouvrées par le Trésor Public.

Comparaison Annuelle des Sanctions

En 2023, la CNIL avait établi 24 décisions similaires. La hausse significative des sanctions en début d’année suggère une attention renforcée aux manquements en matière de protection des données personnelles.

Les Manquements Sanctionnés

Les infractions couvrent un éventail de manquements cruciaux, incluant l’insuffisance dans les missions et ressources allouées au délégué à la protection des données, une coopération insuffisante avec la CNIL, des failles de sécurité des données, et des violations du respect des droits individuels.

Manquement aux Devoirs du Délégué à la Protection des Données

Un cas notable concerne un organisme n’impliquant pas suffisamment son DPO, crucial dans l’orientation et le contrôle des pratiques de protection des données. Cela inclut l’absence de communication essentielle et un accès limité aux outils permettant de garantir les droits des personnes concernées.

Infractions en Matière de Prospection Politique

La période électorale a mis en lumière des manquements significatifs à l’obligation d’information lors de campagnes de prospection politique, entraînant une sanction pour une association politique.

Défaillances de Sécurité des Données Personnelles

Sites aux TLS obsolètes

Des vulnérabilités liées à l’utilisation de protocoles TLS obsolètes et de suites cryptographiques non sécurisées ont également conduit à des sanctions. Ces défaillances soulignent l’importance de maintenir des standards de sécurité à jour pour protéger les données transmises en ligne.

Plusieurs organismes avaient fait l’objet d’une mise en demeure portant sur la mise en conformité de leurs sites web car ils n’utilisaient pas de versions du protocole TLS récentes et exemptes de vulnérabilité ni de suites cryptographiques conformes à l’état de l’art.

Ces organismes continuaient à utiliser le protocole TLS 1.0 ou 1.1, alors que ces deux versions sont à proscrire selon le guide relatif au protocole TLS de l’Agence nationale de la sécurité et des systèmes d’informations (ANSSI), la fonction de hachage SHA-1 qui n’est plus considérée comme sûre, car elle ne permet pas de garantir l’intégrité et la confidentialité des données lors de leur transmission entre le serveur et le navigateur de l’utilisateur.

Le protocole TLS (Transport Layer Security) constitue une pierre angulaire de la sécurité sur Internet, permettant la protection des données en transit entre clients et serveurs. Il assure trois fonctions essentielles : la confidentialité, l’intégrité des données, et la prévention contre le rejeu des données. Ce protocole garantit également l’authentification du serveur et, selon les configurations, celle du client.

Historique et Évolution du Protocole

Depuis son introduction en 1995, succédant à SSL (Secure Sockets Layer), le protocole TLS a été largement adopté pour sécuriser les communications sur Internet, notamment pour les sites web et la messagerie électronique. Il joue également un rôle crucial dans la protection des flux d’infrastructure internes. L’évolution de TLS est le résultat d’un effort continu de recherche et de développement, visant à identifier et corriger les vulnérabilités.

Les Enjeux de la Sécurité TLS

La sécurité offerte par TLS dépend fortement de l’emploi de logiciels à jour et de la configuration adéquate des paramètres du protocole. Ces ajustements sont cruciaux pour contrer les menaces et garantir la sécurité des échanges. La détection des vulnérabilités dans le protocole a conduit à l’amélioration continue de TLS, par le biais de mises à jour et de contre-mesures efficaces.

Recommandations pour une Sécurité Optimale

Pour maximiser la sécurité des échanges via TLS, il est recommandé de suivre les bonnes pratiques en matière de choix des suites cryptographiques et de configuration du protocole. Ces recommandations sont destinées à assurer une conformité aux normes de sécurité actuelles et à prévenir les risques de compromission.