Javascript is required
logo-dastralogo-dastra

Première sanction de la CNIL pour absence de registre RGPD !

La CNIL sanctionne la SNAF pour absence de registre RGPD

Première sanction de la CNIL pour absence de registre RGPD !
Jérôme de Mercey
Jérôme de Mercey
8 octobre 2021

La Commission nationale de l'informatique et des libertés (CNIL) a sanctionné le 15 septembre 2021 la société des annuaires français (SNAF) sur plusieurs manquements.

Au delà des manquements principaux relatifs au non respect des droits des personnes, elle sanctionne pour la première fois l'absence de registre RGPD !

Cette sanction nous apprend que la CNIL n'est pas magnanime sur cette obligation y compris pour les microsociétés.

Chaque entreprise doit respecter les règles du RGPD et le registre constitue la clé de voûte de tout dispositif de conformité.

Quatre manquements ont été retenus à l'encontre de la société :

  • un manquement à l’obligation de respecter les demandes de rectification des données (art. 16 du RGPD) ;
  • un manquement à l’obligation de respecter les demandes d’effacement des données (art. 17 du RGPD), dans la mesure où la société n’a pas procédé à l’effacement des données de tous les plaignants qui l’ont sollicitée ;
  • un manquement à l’obligation de mettre en œuvre un registre des activités de traitement (art. 30 du RGPD), alors que l’activité principale de la société consiste à traiter des données personnelles ;
  • un manquement à l’obligation de coopérer avec la CNIL (art. 31 du RGPD).

La mise en oeuvre de la chaine répressive de la CNIL

La société SNAF (société nouvelle de l’annuaire français) gère le site web annuairefrançais.fr, annuaire en ligne professionnel recensant les entreprises françaises. Elle compte seulement un employé, son président.

L'objectif du site est de dresser une fiche de présentation pour chaque entreprise française, mettant à disposition ses informations administratives et les noms et adresses des dirigeants.

L’annuaire est mis à jour mensuellement par le téléchargement de la base publique SIRENE de l’INSEE recensant les entreprises.

Des professionnels ont saisi la CNIL concernant l’impossibilité de faire rectifier ou effacer leurs données à caractère personnel accessibles au public sur le site annuairefrançais.fr.

La CNIL, après avoir effectué un contrôle sur audition et mis en demeure la société de se conformité sur ces points, a condamné la société au paiement d’une amende de 3 000 euros au titre de la violation des articles 16, 17, 30 et 31 du RGPD.

Les données relatives à des personnes physiques professionelles constituent des données à caractère personnel

L’article 4.1 du RGPD définit les données à caractère personnel comme "toute information se rapportant à une personne physique identifiée ou identifiable".

De là, la société SNAF soutenait que les informations présentes sur le site étaient exclues du champ d’application du RGPD car elle se rapporteraient à des personnes morales et non des personnes physiques.

La CNIL balaye cet argument au motif que les fiches contenaient le nom des dirigeants des entreprises et que dès lors, les données permettant une identification directe d’une personne physique sont des données à caractère personnel.

En effet, peu importe la qualification de professionels de ces personnes physiques à partir du moment où elles sont identifiées comme personnes physiques. C'est une position constante de la CNIL, du Conseil d'Etat et de la Cour de justice de l'Union européenne.

A lire : les 8 règles d'or de la protection des données personnelles

Une condamnation-exemple pour absence de registre des activités de traitement

La CNIL a constaté que la société n'avait pas mis en oeuvre un registre des activités de traitement.

Rappelons en effet que l’article 30 du RGPD prévoit que tout responsable de traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité, mais également un registre de toutes les catégories d’activités de traitement effectuées quand il agit en tant que sous-traitant.

Cette obligation s'impose aux entreprises de plus de 250 salariés. Pour les entreprises de moins de 250 salariés, seuls les traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées ou non occasionnels ou qui portent sur des données sensibles doivent figurer dans ce registre.

Le registre constitue la clé de voûte de tout dispositif de conformité RGPD

Dans le cas de la société SNAF, celle-ci avait pour coeur d'activité la mise en oeuvre d'un traitement de données à caractère personnel. Elle avait donc l'obligation d'inscrire le traitement relatif à la tenue de l'annuaire, traitement non occasionnel, dans un registre.

Ce registre doit pouvoir être mis à la disposition de la CNIL à tout moment, d’où la nécessité, outre d’en tenir un, de l’actualiser en permanence.

Pour rappel, ce registre doit être constitué des informations essentielles sur le traitement : les coordonnées du responsable du traitement, le DPO, les finalités, les données, les durées de conservation, les personnes concernées, les destinataires, les transferts hors UE/EEE et les mesures de sécurité.

Besoin de constituer votre registre rapidement ? DASTRA vous permet de tenir facilement votre registre RGPD avec des modèles de traitement préconçus par des experts RGPD.

La prise en compte essentielle des droits des personnes

Le RGPD met au plus haut niveau le respect des droits des personnes.

L’article 16 du RGPD prévoit l’obligation de respecter les demandes de rectification des données

La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

La CNIL nous indique que la société ne faisait droit aux demandes de rectification que lorsque les informations présentes entre sa fiche et la base SIRENE étaient différentes. Or, une demande concernait une erreur dans la base SIRENE.

La CNIL l'a rappelée à l'ordre en lui rappelant l'obligation de procéder à la rectification des données et de mettre en place une procédure permettant de prendre en compte de manière effective toute demande d’exercice du droit de rectification et de mise à jour formulée par des personnes dont les données personnelles figurent dans la base de données de la société.

Découvrez comment gérer simplement les droits avec Dastra !

L’article 17 du RGPD prévoit l’obligation de respecter les demandes d’effacement des données

La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique (…) la personne concernée s'oppose au traitement et il n'existe pas de motif légitime impérieux pour le traitement.

Là aussi, la CNIL lui a demandé de supprimer les données et de mettre en place une procédure permettant de prendre en compte de manière effective toute demande d’exercice du droit d’effacement des personnes dont les données à caractère personnel figurent dans la base de données de la société.

En effet, quand les données sont traitées sur la base de l'intérêt légitime, il doit être fait droit à la demande d'effacement dès lors que le responsable du traitement ne démontre pas de motifs légitimes et impérieux justifiant le traitement.

Vous recherchez des modèles de procédures ? Venez découvrir nos modèles accessibles sur la plateforme Dastra !


A propos de l'auteur
Jérôme de Mercey
Jérôme de Mercey

Cofondateur de Dastra

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.