Blog Données personnelles
La CNIL a sanctionné la Société nouvelle de l’annuaire français
Le 15 septembre dernier, la Commission nationale de l’informatique et des libertés (la « CNIL ») a prononcé une sanction de 3 000 euros à l’encontre de la Société nouvelle de l’annuaire français (la « Société »), notamment pour ne pas avoir respecté les droits des personnes concernées.
La Société gère le site internet annuairefrançais.fr, un annuaire recensant les entreprises françaises à partir d’une base de données publiée par l’INSEE. Les fiches dont est composé l’annuaire contiennent des données personnelles au sens du Règlement général sur la protection des données (le « RGPD »), telles que les noms des dirigeants des entreprises recensées.
Suite à la réception de 16 plaintes entre 2018 et 2019, la CNIL a procédé à des contrôles auprès de la Société. A ces occasions, elle a constaté plusieurs manquements par la Société aux dispositions prévues au RGPD.
La CNIL considère que la société a failli à l’obligation de respecter les demandes de rectification des données personnelles, prévue à l’article 16 du RGPD, en ne faisant pas droit à plusieurs demandes reçues.
La Société a également manqué à l’obligation de respecter les demandes d’effacement des données personnelles, prévue à l’article 17 du RGPD. En l’espèce, les traitements de données personnelles concernés étaient basés sur l’intérêt légitime de la Société et celle-ci n’invoquait aucun motif légitime impérieux justifiant que les traitements mis en œuvre priment sur les droits des personnes concernées.
La CNIL relève, en outre, que la Société n’a pas mis en œuvre un registre des activités de traitement alors que les traitements de données personnelles réalisés n’étaient pas occasionnels, violant ainsi l’article 30 du RGPD.
Enfin, la CNIL reproche à la Société d’avoir manqué à l’obligation de coopérer avec ses services, prévue à l’article 31 du RGPD. A cet égard, la Société n’a pas répondu à toutes les demandes de la CNIL, ou l’a fait de manière insuffisante ou incomplète, et ne s’est pas conformée aux exigences de la mise en demeure émise par la CNIL dans le délai imparti.
Pour prononcer sa sanction, la CNIL a notamment tenu compte du fait que les manquements constatés ont eu des conséquences directes pour les personnes concernées et du fait que la Société n’a pas pris les mesures de nature à lui permettre d’être en conformité avec les dispositions du RGPD malgré un long accompagnement de la CNIL. Cette dernière a également pris en compte le chiffre d’affaires de la Société.
La délibération de la CNIL est accessible ici.