Violation du RGPD : la réactivité des acteurs peut minorer le montant de l’amende mais pas l’effacer

Une entreprise du secteur assurantiel, visée par une enquête de la CNIL a été sanctionnée à hauteur
de 180.000€ pour défaut de sécurité entraînant une violation de la protection des données à caractère personnel.

Les comptes des clients de la société étaient accessibles via des liens hypertextes référencés sur un moteur de recherche et également en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Ces documents comportaient des copies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi que des documents relatifs aux retraits de permis ou délits de fuite.

La CNIL a alerté la société de ce défaut de sécurité et lui a demandé d’y remédier.
La formation restreinte de la CNIL a prononcé à l’encontre du responsable de traitement une amende de 180 000 euros. Elle a tenu compte de plusieurs facteurs : la gravité du manquement, la sensibilité des données (pièces d’identité, informations relatives à des infractions, données bancaires etc.), le nombre de personnes impactées, (plusieurs milliers de clients et d’anciens clients), la réactivité de la société dans la correction du défaut de sécurité ainsi que sa coopération avec la CNIL.
Aussi, le responsable de traitement demeure tenu au paiement d’une amende en cas de défaut de sécurité des données, même s’il fait preuve de réactivité.
Il est donc indispensable d’implémenter toutes les mesures organisationnelles et techniques de sécurité des données nécessaires avant d’initier des traitements de données