Sanction de 3 000 euros à l’encontre de la Société nouvelle de l’annuaire français (SNAF)

La CNIL a prononcé une sanction de 3 000 euros à l’encontre de la Société nouvelle de l’annuaire français (SNAF), notamment pour ne pas avoir respecté les droits des personnes concernées.

La Société nouvelle de l’annuaire français (SNAF) gère le site web annuairefrancais.fr, recensant les entreprises françaises à partir des données publiées par l’INSEE.

LE CONTEXTE

La CNIL a reçu seize plaintes, entre 2018 et 2019, indiquant des difficultés rencontrées lors de demandes d’effacement et de rectification de données personnelles.

Un contrôle en ligne et un contrôle sur audition ont permis de constater des manquements aux droits personnes concernées.

La présidente de la CNIL a alors mis en demeure la SNAF de se mettre en conformité avec le RGPD dans un délai de deux mois, ce que n’a pas fait la société.

En conséquence, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé à l’encontre de la SNAF une amende de 3 000 euros, notamment pour non-respect des droits de rectification et d’effacement et non-coopération avec la CNIL.

Cette sanction prend en compte la taille et la situation financière de la société. Sa publicité se justifie par la nécessité de rappeler l’importance de traiter les demandes de rectification et d’effacement, ainsi que de coopérer avec la CNIL.

Les manquements retenus
La CNIL a retenu à l’encontre de la SNAF quatre manquements au RGPD :

  • un manquement à l’obligation de respecter les demandes de rectification des données (art. 16 du RGPD), dans la mesure où la société n’a pas donné pleinement suite à la demande de rectification qu’elle a reçue, dans le délai imparti par la mise en demeure. La société a toutefois procédé à la rectification au cours de la procédure ;
  • un manquement à l’obligation de respecter les demandes d’effacement des données (art. 17 du RGPD), dans la mesure où la société n’a pas procédé à l’effacement des données de tous les plaignants qui l’ont sollicitée ;
  • un manquement à l’obligation de mettre en œuvre un registre des activités de traitement (art. 30 du RGPD), alors que l’activité principale de la société consiste à traiter des données personnelles ;
  • un manquement à l’obligation de coopérer avec la CNIL (art. 31 du RGPD).

Source : CNIL

Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées.
De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.