Nouvelles sanctions prononcées par la CNIL en 2025 dans le cadre de la procédure simplifiée : un rappel nécessaire des principes du RGPD (minimisation ; sécurité et violation des données)

Article rédigé le 09 juin 2025 par Me Laurence Huin

Le pouvoir de sanction de la Commission Nationale Informatique et Libertés (ci-après « CNIL ») découle de l’article 20 de la loi Informatique et Libertés, lui permettant d’imposer des amendes administratives en cas de manquement au Règlement sur la protection des données à caractère personnel (ci-après « RGPD »).

Le 29 mai 2025, la CNIL a publié une synthèse de dix nouvelles sanctions prononcées dans le cadre de sa procédure simplifiée. Pour rappel, cette procédure permet à la formation restreinte de la CNIL de prononcer des amendes d’un montant maximal de 20 000 euros en cas d’infractions ne soulevant pas de difficultés particulières.

Des manquements récurrents aux principes du RGP

Les sanctions en question portent sur la surveillance des salariés principalement via des dispositifs de vidéosurveillance ou de géolocalisation. Ces pratiques ont été jugées contraires au principe de minimisation des données, l’autorité rappelant qu’une surveillance permanente au poste de travail ou un suivi continu des déplacements ne peuvent être justifiés que par des circonstances exceptionnelles. Les employeurs doivent privilégier des dispositifs moins intrusifs et limiter la collecte aux seules données nécessaires, comme la dernière position connue en cas de vol.

Par ailleurs, la CNIL a sanctionné un responsable de traitement pour des défaillances en matière de sécurité pour accéder à un dispositif vidéo. En effet, il a notamment été relevé par la CNIL l’utilisation d’un mot de passe inchangé et insuffisamment complexe, ainsi que l’absence de restriction d’accès au dispositif vidéo permettant ainsi des personnes non habilitées d’y accéder. Ces manquements ont mis en lumière l’absence de mesures techniques et organisationnelles adaptées, en violation de l’article 32 du RGPD.

Quelques rappels sur l’obligation de notification en cas de violation de données

Parmi les sanctions prononcées, l’une d’entre elles visent explicitement une violation de données personnelles n’ayant pas été notifiée. Dans ce cadre, la CNIL rappelle l’obligation de notifier toute violation de données à caractère personnel présentant un risque pour les droits et libertés des personnes concernées, conformément à l’article 33 et 34 du RGPD.

Pour rappel, la définition d’une violation de données prévue par l’article 4.12 du RGPD est la suivante :

« Une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles donnée »

Une telle situation implique une atteinte à la disponibilité, l’intégrité ou la confidentialité des données personnelles. Pour les établissements de santé, la gravité potentielle de ces atteintes est accrue par la sensibilité des données traitées, majoritairement qualifiées de données de santé au sens de l’article 9 du RGPD.

Ainsi, les établissements doivent se doter de procédures de gestion des violations de données rigoureuses et formalisées, prévoyant :

En cas de risque pour les droits et libertés des personnes concernées, une notification électronique à la CNIL doit être effectuée sans délai indu, et si possible dans les 72 heures, via le téléservice dédié ( https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles.)

Une procédure claire et documentée est un levier indispensable de conformité et de gestions des risques. Il est donc essentiel pour les établissements de se doter de procédures et de documentations internes (politique de gestion des violations des données, clauses contractuelles avec les prestaires et sous-traitants).