Dans un communiqué de presse du 8 octobre dernier, la CNIL a annoncé avoir rendu onze nouvelles décisions dans le cadre de sa procédure de sanction simplifiée ces trois derniers mois.
Pour mémoire, cette procédure mise en place en 2022 concerne les manquements au Règlement Général de Protection des Données (RGPD) ou à la Loi Informatique et Libertés qui ne présentent pas de difficultés particulières.
Elle a pour objectif de permettre à la CNIL d’accroitre l’efficacité de son action répressive en lui donnant la possibilité de prononcer une sanction dans un délai plus resserré et qui peut prendre la forme :
- D’un rappel à l’ordre ;
- D’une injonction de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard ;
- D’une amende administrative d’un montant maximal de 20.000 €.
Dans son communiqué de presse du 8 octobre 2024, la CNIL indique que deux des onze nouvelles sanctions prononcées avaient trait à l’absence de registre des activités de traitement pour des entreprises de moins de 250 salariés ayant mis en place des traitements qui n’étaient pas occasionnels.
Elle ajoute que plusieurs sanctions concernaient des manquements au principe de minimisation des données, en lien avec la vidéosurveillance des salariés ou l’enregistrement systématique et intégral de leurs conversations téléphoniques avec des prospects ou clients.
Elle en profite ainsi pour rappeler que :
- « La surveillance vidéo permanente de salariés à leur poste de travail, non justifiée par des circonstances exceptionnelles liées à la sécurité ou au vol, porte atteinte au principe de minimisation des données ».
- « De même, un système d’enregistrement et d’écoute des appels téléphoniques doit être proportionné au regard de l’objectif poursuivi et ne doit pas porter une atteinte excessive au respect de la vie privée des personnes enregistrées. Ainsi, la finalité (ou objectif) d’amélioration des ventes et la formation des salariés ne justifie pas d’enregistrer systématiquement et en intégralité les conversations téléphoniques, alors qu’un enregistrement ponctuel et aléatoire des appels émis peut être mis en place. Il en va de même si l’objectif est de collecter une « preuve » : en dehors des cas où il est imposé par la loi, l’enregistrement systématique des conversations téléphoniques n’est justifié sous réserve d’être nécessaire, que s’il constitue la preuve d’un contrat ou d’un acte d’exécution d’un contrat conclu avec un consommateur (par exemple l’achat d’un service) ».
