Depuis janvier 2024, la CNIL a rendu quinze nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée pour un montant total de 98 500 euros.
Par comparaison, sur l’ensemble de l’année 2023, la CNIL a prononcé 24 décisions de ce type.
Les principaux manquements retenus sont :
- un manquement relatif aux missions et ressources du délégué à la protection des données ;
- un défaut de coopération avec la CNIL ;
- un défaut de sécurité des données (utilisation du protocole TLS et suites cryptographiques ) ;
- un non-respect des droits des personnes (exercice des droits d’effacement et d’opposition et du droit d’accès à un dossier médical) ;
- un manquement à l’information en matière de prospection politique ;
- un manquement aux obligations du sous-traitant.
Un défaut de sécurité des données personnelles
Plusieurs organismes avaient fait l’objet d’une mise en demeure portant sur la mise en conformité de leurs sites web car ils n’utilisaient pas de versions du protocole TLS récentes et exemptes de vulnérabilité ni de suites cryptographiques conformes à l’état de l’art.
La CNIL a procédé, à l’issue du délai de mise en conformité indiqué dans les mises en demeure, à des vérifications sur les sites web des organismes qui, pour certains, n’étaient toujours pas conformes.
Une procédure de sanction simplifiée a été engagée et la CNIL a prononcé des amendes à l’égard de ces organismes qui continuaient à utiliser :
- le protocole TLS 1.0 ou 1.1, alors que ces deux versions sont à proscrire selon le guide relatif au protocole TLS de l’Agence nationale de la sécurité et des systèmes d’informations (ANSSI),
- la fonction de hachage SHA-1 qui n’est plus considérée comme sûre, car elle ne permet pas de garantir l’intégrité et la confidentialité des données lors de leur transmission entre le serveur et le navigateur de l’utilisateur.
Il est temps de revoir le protocole de sécurité de vos sites web !
Sur la base des recommandations de la CNIL, un conseil en matière de sécurité de protocole pour un site web serait de veiller à utiliser des versions récentes du protocole TLS (Transport Layer Security) qui sont exemptes de vulnérabilités. Il est important d'éviter d'utiliser les versions obsolètes comme TLS 1.0 et 1.1, qui sont considérées comme non sécurisées.
De plus, il est recommandé d'utiliser des suites cryptographiques conformes à l'état de l'art pour garantir la sécurité des données personnelles transmises entre le serveur et le navigateur des utilisateurs. Il est essentiel d'adopter des pratiques de sécurité robustes pour protéger les informations sensibles et assurer la confidentialité des données.
En suivant ces recommandations, vous renforcez la sécurité de votre site web et réduisez les risques de violation de données personnelles, ce qui peut vous éviter des sanctions et amendes potentielles.
Qu’est-ce que la procédure simplifiée ?
Contrairement à la procédure ordinaire, les modalités de mise en œuvre de la procédure simplifiée sont plus légères : le président de la formation restreinte (ou un membre qu’il désigne) statue seul et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu.
Les sanctions pouvant être prononcées sont une amende d’un montant maximum de 20 000 €, une injonction avec astreinte plafonnée à 100 € par jour de retard ou un rappel à l’ordre. Les noms des organismes concernés ne peuvent pas être rendus publics.
Cette procédure permet à la CNIL de prendre rapidement des mesures pour des dossiers ne présentant pas de difficulté particulière.