Les sanctions de la Cnil dans le cadre de ses procédures simplifiées ont le vent en poupe. Après une année 2023 qui a vu une montée en puissance de cette procédure activée lorsque les cas traités ne présentent pas de difficulté particulière, les quatre derniers mois écoulés ont aussi été fructueux. Depuis juin 2024, la commission nationale de l'informatique et des libertés a indiqué avoir rendu 11 nouvelles décisions de sanctions dans le cadre de ses procédures simplifiées et recouvré 129 000 € d'amendes. Depuis le début de l'année, 28 sanctions ont été prises par ce biais pour un montant total de 290 500 €, soit d'ores et déjà plus que sur l'ensemble de 2023 (24 sanctions pour 229 500 € d'amende).
"Plusieurs sanctions prises dans le cadre de la procédure simplifiée ont retenu un manquement au principe de minimisation des données, qu’il s’agisse de la vidéosurveillance des salariés ou de l’enregistrement systématique et en intégralité des conversations téléphoniques entre des téléconseillers et des prospects ou clients", a fait savoir la Cnil. "La surveillance vidéo permanente de salariés à leur poste de travail, non justifiée par des circonstances exceptionnelles liées à la sécurité ou au vol, porte atteinte au principe de minimisation des données. De même, un système d’enregistrement et d’écoute des appels téléphoniques doit être proportionné au regard de l’objectif poursuivi et ne doit pas porter une atteinte excessive au respect de la vie privée des personnes enregistrées. Ainsi, la finalité (ou objectif) d’amélioration des ventes et la formation des salariés ne justifie pas d’enregistrer systématiquement et en intégralité les conversations téléphoniques, alors qu’un enregistrement ponctuel et aléatoire des appels émis peut être mis en place."
Absence de registres de traitement et non-respect du droit des personnes aussi visés
Parmi les autres manquements retenus par la Cnil dans le cadre de ses procédures simplifiées, on trouve également l'absence de registre de traitement et de moyens permettant de refuser les cookies aussi facilement que de les accepter, d'un défaut de coopération ou encore du non-respect des droits des personnes (absence de réponse dans les délais prévus) et au manquement à l’information des personnes (clients et salariés). L'autorité indique en outre avoir sanctionné deux sociétés de moins de 250 employés pour absence de registre des activités de traitement, les traitements en cause n’étant pas occasionnels.