Cette délibération a prononçé une sanction pécuniaire à l’encontre de la société SERGIC. Outre la sanction financière importante prononcée par la CNIL et la publicité donnée à cette délibération, ce qu’il faut retenir de cette première décision rendue contre une société française sous l’égide du RGPD :
sur le comportement du responsable du traitement :
- l’absence de mesures conservatoires dans les 6 mois suivants la découverte d’une faille est fautive : il ne suffit pas de chercher à remédier au défaut de sécurité mais immédiatement prendre des mesures interdisant l’accès aux données ;
- le traitement de données sensibles requiert une anticipation des failles et une conservation d’autant plus limitée dans le temps : le défaut de proportionnalité du traitement avec la sensibilité des données est par conséquent sanctionné.
sur le contrôle de l’autorité :
- l’autorité n’est pas tenue d’adresser une lettre de mise en demeure préalablement à l’exercice de son contrôle sur site.
