La CNIL sanctionne une agence marketing d’une amende de 4% de son CA – et ce n’est que le début… (article rédigé en janvier 2021)

Après les sanctions de la CNIL visant des PME et TPE en 2019, 2020 semblait inverser la tendance et avait vu des amendes de plusieurs dizaines de millions d’euros pleuvoir sur Carrefour, Google ou encore Amazon.

Les petites entreprises auraient pu se croire à l’abri et que la CNIL ne les contrôlerait plus. C’était sans compter sur les derniers jours de 2020, année décidément à nulle autre pareil. Le 7 décembre dernier, la CNIL a ainsi sanctionné une TPE de deux salariés réalisant 182 672 € de chiffres d’affaires (sur 2019) à une amende d’un montant de 4% de son chiffre d’affaires, soit 7300 euros, ainsi qu’une astreinte de 1 000  par jour de retard à l’issue d’un délai de deux mois.

La société condamnée est une agence marketing chargée, pour le compte d’annonceurs, de l’envoi de leur campagne publicitaires à des prospects. À ce titre, elle détient notamment une base de données de 20 millions de courriels de prospects, qu’elle indique avoir constituée à partir d’achats effectués auprès d’une autre société en 2014 et 2015, avant la liquidation de cette dernière en 2017.

En 2019, l’association Signal SPAM avait adressé un signalement à la CNIL en lui indiquant que cette agence apparaissait régulièrement en tête du classement des sociétés émettant le plus de messages signalés comme spam par les internautes français. 163 126 personnes s’étaient ainsi plaintes auprès de l’association en seulement 5 mois et 11 jours !

Un contrôle (…)

Lire la suite

Nos anciens articles (janvier 2019) – La prise en compte du RGPD dans les contrats des fournisseurs IT Santé : peut mieux faire ?

La protection du SI des établissements de santé suppose que l’ensemble des éléments intégrés dans le SI ou des acteurs qui y interviennent, quand ils sont le fait de tiers, soient soumis à des engagements contractuels stricts. Si des progrès ont été faits, notamment grâce au RGPD, de nombreux points d’attention demeurent.

Depuis l’entrée en application du Règlement Général sur la Protection des Données – que le grand public connaît mieux sous le nom de RGPD – le 25 mai 2018, il devient plus facile pour les entreprises clientes de prestations IT d’obtenir de leurs fournisseurs des engagements stricts, clairs et détaillés quant à la sécurité des prestations qu’ils fournissent.En effet, pour autant que les prestations consistent (…)

Lire la suite

Signature électronique : un reboot pour enfin trouver son public ?

Le Parlement européen et le Conseil ont adopté le 23 juillet 2014 le règlement dit « identification et service de confiance » ou encore « règlement eIDAS »(1). Non seulement ce règlement se substituera le 1er juillet 2016 à la directive 1999/93/CE dite « signature électronique »(2) qui sera abrogée le jour même, mais il remplacera surtout directement les règles existantes des pays membres sur les sujets qu’il traite(3).

Son objectif : accomplir ce que la directive « signature électronique » n’a pas réussi, en renforçant la sécurité juridique en matière de transaction électronique, afin d’accroître la confiance de ses multiples utilisateurs et parvenir à un marché numérique unique via l’interopérabilité(4).

Le règlement ne s’est pas seulement contenté de creuser le sujet original traité par la directive de 1999. Il aborde également, dans un chapitre II ad hoc, une problématique annexe : celle de l’identification électronique permettant d’accéder à un service en ligne fourni par un organisme du secteur public dans un État membre (et notamment les conditions de reconnaissance mutuelle transnationale du schéma d’identification). C’est une des raisons qui explique l’embonpoint certain du texte, qui a tout de même triplé de volume par rapport à la directive de 1999 : 28 considérants et 15 articles dans la directive, contre 77 considérants et 52 articles dans le règlement de 2014 !

Dans le cadre de ce focus, nous ne traiterons pas du volet « identification électronique dans le secteur public », pour nous concentrer sur les services de confiance et en particulier la signature électronique. Par ailleurs, devant l’ampleur du sujet, il nous a semblé plus utile de nous concentrer sur certains aspects du texte, plutôt que de nous livrer à une simple énumération du détail de chacune des nouvelles règles.

Les développements qui suivent seront donc l’occasion d’un état des lieux – et des conséquences – des principales modifications prévues l’année prochaine. Pour en rendre la lecture plus digeste, nous avons décidé de vous proposer l’ensemble sous la forme de questions-réponses sur (…)

Lire la suite