Article à la une...
Le 9 novembre 2023, la CNIL a rappelé à l’ordre le ministère de la Transformation et de la Fonction publiques et le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique pour avoir utilisé les coordonnées des agents publics afin de communiquer sur le projet de réforme des retraites.
Le contexte
Le 26 janvier 2023, un courriel dont l’objet était « Réforme des retraites : Message de Stanislas Guerini aux agents de la Fonction publique » a été envoyé à 2 346 303 agents publics actifs. Le courriel renvoyait vers une vidéo dont le titre était identique à l’objet du courriel, et vers un document de présentation intitulé « Pour nos retraites : un projet de justice, d’équilibre et de progrès ». La vidéo contenait un message filmé du ministre de la Transformation et de la Fonction publiques aux agents publics, leur exposant et justifiant la réforme des retraites, alors en cours d’adoption.
À la suite de cet envoi, la CNIL a été saisie de près de 1 600 plaintes à ce sujet. La formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a été saisie.
Une sanction pour avoir utilisé un fichier administratif à des fins de communication politique
L’administration peut communiquer auprès de ses agents toutes les informations nécessaires à l’exercice de leur mission ou relatives à leur statut d’agent public, mais elle ne doit le faire que dans le respect des règles encadrant les fichiers qu’elle utilise.
Pour envoyer le message du 26 janvier 2023 aux agents publics, l’administration avait utilisé le fichier ENSAP, régi par le décret n°2022-1446 du 21 novembre 2022 et qui relève du ministre chargé de l’économie. L’ENSAP est un « outil d’échange et de communication », matérialisé notamment par une plateforme numérique sur laquelle sont disponibles les documents confidentiels des agents publics, tels que leur bulletin de paie mensuel. Pour s’inscrire, l’agent public fournit une adresse électronique.
La formation restreinte a d’abord relevé que le décret régissant cette plateforme n’avait pas été respecté. En particulier, il permet seulement à l’’administration d’adresser aux agents publics des courriels les informant qu’un document est disponible sur la plateforme ENSAP afin de leur offrir des services personnalisés.
Ensuite, la formation restreinte a rappelé que l’ENSAP ne peut pas servir à une communication de nature politique. Or, elle a considéré que l’envoi du courriel et la vidéo à laquelle il donnait accès constituaient, dans ce cas, une communication politique et non à une communication entre l’agent et l’administration tel que le prévoit le décret. En effet, le message vidéo du ministre visait à convaincre du bien-fondé du projet de réforme des retraites, laquelle n’était pas encore votée.
La formation restreinte de la CNIL a conclu qu’en utilisant les adresses électroniques des agents publics collectées dans le cadre de l’ENSAP pour l’envoi de cette vidéo, les ministères mis en cause avaient utilisé ces données personnelles de manière incompatible avec l’objectif de ce fichier.
Source : CNIL
Le 12 octobre 2023, la CNIL a sanctionné la société GROUPE CANAL+ d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.
Le contexte
La CNIL a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte de leurs droits par la société GROUPE CANAL+, éditrice de chaînes et distributrice d’offres de télévision payante.
Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et le Code des postes et des communications électroniques (CPCE). Elle a prononcé à l’encontre de la société GROUPE CANAL+ une amende de 600 000 euros rendue publique.
Le montant de cette amende a été décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité.
Les manquements sanctionnés
Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD)
GROUPE CANAL + réalise régulièrement des campagnes de prospection commerciale par voie électronique. Cependant, elle n’a pas été en mesure de fournir d’éléments démontrant qu’elle avait obtenu au préalable un consentement valable des personnes.
Lors des contrôles, la société a fourni à la CNIL deux exemples de formulaires types de collecte de données des prospects mis à sa disposition par ses partenaires commerciaux auprès desquels elle récupère les données.
L’analyse de ces formulaires montre qu’ils ne comportent aucune information sur l’identité des destinataires auxquels les données sont transmises. Or, pour que le consentement soit éclairé et valable, la liste des partenaires destinataires des données doit être tenue à la disposition des personnes au moment de recueillir leur consentement.
Enfin, les mesures mises en place par la société GROUPE CANAL+ auprès de ses fournisseurs de données pour s’assurer que le consentement a été valablement donné par les personnes avant d’être démarchées étaient insuffisantes.
Des manquements à l’obligation d’information (articles 13 et 14 du RGPD) et au respect de l’exercice des droits (articles 12 et 15 du RGPD)
Les vérifications effectuées par la CNIL ont également permis de mettre en évidence d’autres manquements :
- Un manquement à l’obligation d’information des personnes lors de la création d’un compte MyCanal : la politique de confidentialité à laquelle renvoyait le formulaire de collecte lors de la création du compte était imprécise sur les durées de conservation (article 13 du RGPD).
- Un manquement à l’obligation d’information les personnes lors des appels de démarchage téléphonique : le prestataire de la société en charge de la prospection téléphonique ne fournissait pas systématiquement toutes les informations exigées par le RGPD.
- Un manquement aux obligations relatives aux modalités d’exercice des droits (article 12 du RGPD) : la société n’a notamment pas répondu à certains plaignants dans le délai d’un mois prévu par les textes.
- Un manquement à l’obligation de respecter le droit d’accès aux données (article 15 du RGPD). La société n’a pas fait suite à certaines demandes d’accès.
Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD)
Lors des contrôles, la CNIL a constaté qu’un contrat de sous-traitance ne comportait pas toutes les mentions requises par le RGPD.
Un manquement a l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
La formation restreinte a également retenu un manquement à l’obligation d’assurer la sécurité des données personnelles car le stockage des mots de passe des employés de la société n’était pas suffisamment sécurisé.
Un manquement à l’obligation de notifier à la CNIL une violation de données (article 33 du RGPD)
Les vérifications de la CNIL ont permis de constater l’existence d’une violation de données, qui a rendu accessibles certaines données d’abonnés à d’autres abonnés pendant une durée de 5 heures, et qui n’a pas été notifiée à la CNIL.
Source : CNIL