Dans une publication du 12 mars 2024, la CNIL est revenue sur quinze sanctions qu’elle a prononcées dans le cadre de la procédure de « sanction simplifiée ». Elle insiste notamment sur l’utilisation de cette procédure pour contrôler les DPO.
Entre janvier et mars 2024, la CNIL a prononcé quinze sanctions en ayant recours à la procédure de « sanction simplifiée ».
Ces décisions sanctionnent des responsables du traitement qui, par exemple, ont manqué à leurs obligations :
- de coopérer avec la CNIL ;
- de respecter le droit des personnes ;
- d’informer les personnes concernées ;
- d’assurer la sécurité des données personnelles.
La CNIL explique également avoir utilisé cette procédure pour contrôler la place du DPO dans l’organisme et s’assurer que ce dernier respecte ses missions et dispose de ressources suffisantes.
La CNIL a notamment indiqué avoir sanctionné un responsable du traitement :
- Qui n’a pas associé son DPO aux réunions intéressant la protection des données et la sécurité des systèmes d’information. La CNIL rappelle que le DPO a « pour mission d’informer et de conseiller le responsable du traitement sur ses obligations légales et d’en contrôler le respect », ce qui suppose que le DPO soit associé aux échanges qui concernent la protection des données personnelles ;
- Qui n’a pas affecté à son DPO les ressources suffisantes pour accomplir correctement ses missions. La CNIL a effectivement constaté que (i) « les coordonnées et les missions du DPO n’avaient fait l’objet d’aucune communication auprès des employés depuis plusieurs années » et que (ii) le « DPO n’avait pas accès à la messagerie du site internet de l’organisme permettant aux personnes concernées d’exercer leurs droits ».
Source : ici