Un ministère mis en demeure par la CNIL !
Nous n’avons cesse de le répéter, le RGPD concerne tout le monde, tous les organismes, et même le gouvernement !
En effet, dans une décision très récente du 20 avril 2023, la CNIL a mis en demeure le ministère de l’économie de régulariser un de ses fichiers. En cause, le fichier SIRENE (système d’information du renseignement des navires et équipages), qui comporte de nombreuses données personnelles et données sensibles, avec près de 45 000 personnes concernées !
On vous explique en détail cette décision dans cet article.
Sommaire :
Le fichier SIRENE : qu’est ce que c’est ?
Le fichier SIRENE est un fichier recensant des informations sur des navires contrôlés. Parmi les informations conservées, on trouve l’état civil des passagers, leurs adresses, professions, fonctions à bord du navire, leur géolocalisation, une copie de leur titre d’identité et la mention d’infractions.
Un fichier contenant donc des données personnelles ET des données sensibles ! Au total, ce sont 45 793 personnes et 392 mineurs qui sont concernés, selon les données fournies par la CNIL.
Problème : ce fichier, et donc ce traitement opéré, ne repose sur aucune base légale. Ce qui n’est pas envisageable du point de vue du RGPD et de la loi informatique et libertés !
L’absence de base légale
En effet, le traitement de telles données constitue logiquement un traitement de données personnelles, au sens du RGPD. Un tel traitement, pour être licite, doit être fondé sur l’une des 6 bases légales prévues par l’article 6 du RGPD.
Un tel traitement devrait être fondé sur la base légale du respect d’une obligation légale, la nécessité d’exécution d’une mission d’intérêt public, ou la poursuite d’un intérêt légitime.
Or, en l’espèce, le traitement opéré n’était fondé sur aucune base légale.
Pas d’AIPD !
De plus, le ministère de l’Économie n’a pas pu justifier auprès de la CNIL de la réalisation d’une analyse d’impact.
Pour un tel traitement, concernant autant de personnes et impliquant des données sensibles, la réalisation d’une analyse d’impact (AIPD) permettant d’évaluer, comme son nom l’indique, l’impact sur les droits et libertés des personnes, est nécessaire.
En l’espèce, l’absence d’AIPD constitue également un manquement au RGPD.
Pas d’autorisation de création d’un tel traitement
Il n’existe aucune disposition légale (telle qu’une loi ou un décret) qui prévoit la création et l’utilisation du fichier SIRENE. De plus, la CNIL n’a pas été consultée pour donner son avis sur sa mise en place, ce qui constitue une violation des articles 87 et 89 de la loi Informatique et Libertés.
Et maintenant ?
La CNIL a accordé au ministère de l’économie un délai de 6 mois pour se conformer.
En effet, le RGPD n’épargne personne, ni même le gouvernement ! Il est urgent que vous procédiez à la mise en conformité de votre organisme.
Besoin d’un DPO pour vous aider à organiser votre conformité ? Consultez notre guide complet : DPO : Comment trouver le vôtre ?
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €
